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习题 解析 是 学 习 过 程 中 的 重要 一 环 。 网 络 安全 学 科 中 存在 大 量 术语 和 
概念 ,有 些 概念 之 间 的 区 别 比较 模糊 ,需要 通过 习题 解析 加 深 理解 这 些 概念 
的 本 质 含义 和 相互 之 间 的 区 别 。 网 络 安全 基础 理论 、 网 络 安全 协议 、 网 络 安 
全 技术 和 计算 机 安全 技术 及 其 在 构建 安全 网 络 方面 的 应 用 都 是 十 分 抽象 
的 ,同样 需要 通过 习题 解析 分 解 . 剖 析 这 些 内 容 和 应 用 过 程 。 因 此 ,编写 了 
作为 教材 (网 络 安全 》 配 套 教 辅 的 (网络 安全 习题 详解 》。 本 教 辅 针 对 教材 中 
每 一 章 的 内 容 ,提供 了 例题 解析 、 选 择 题 分 析 和 名 词 解释 三 部 分 内 容 。 

本 书 在 设计 习题 时 ,参考 了 全 国 计 算 机 等 级 考试 三 级 信息 安全 技术 和 
信息 安全 工程 师 技 术 水 平 考试 中 的 典型 题 型 ,因此 ,本 书 对 参加 全 国 计 算 机 
等 级 考试 三 级 信息 安全 技术 和 信息 安全 工程 师 技术 水 平 考试 的 读者 而 言 ， 
也 是 一 本 非常 有 价值 的 参考 书 。 
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1.1 例题 解析 


【例题 1.1】 借助 使 用 借 记 卡 通过 自动 柜员 机 取 钱 的 例子 ,说 明 保密 性 、 完 整 性 和 可 
用 性 的 要 求 。 

【解析 】 在 取 钱 和 账户 存储 过 程 中 ,必须 保证 密码 的 保密 性 、 账 户 的 完整 性 及 账户 存 
储 和 处 理 系 统 的 可 用 性 ,而 自动 柜员 机 自身 的 可 用 性 并 不 是 十 分 重要 。 

【例题 1.2】 简 述 IATF 与 P2DR 之 间 的 联系 和 区 别 。 

【解析 】 P2DR 模型 表明 ,保障 信息 系统 安全 的 要 素 是 策略 防护 ,检测 和 响应 。 这 
此 要素 之 间 的 关系 如 下 ; 在 安全 策略 的 控制 和 指导 下 ,在 综合 运用 防护 工具 的 同时 ,利用 
检测 工具 了 解 和 评估 信息 系统 的 安全 状态 ,通过 适当 的 反应 将 信息 系统 调整 到 最 安全 和 
风险 最 低 的 状态 。 但 P2DR 模型 一 是 没有 清楚 地 描述 网 络 环境 下 的 信息 系统 的 组 成 、 结 
构 和 行为 ;二 是 没有 清楚 地 描述 信息 系统 的 组 成 结构 和 行为 与 安全 保障 机 制 之 间 的 相互 
关系 ; ee 
的 运行 和 维护 过 程 , 人 员 都 是 最 重要 的 因素 ;四 是 没有 突出 安全 信息 系统 的 运行 过 程 。 

行 过 程 是 人 员 .系统 和 管理 的 有 机 集成 ,是 相互 作用 的 过 程 。 

IATF 是 描述 信息 系统 安全 保障 的 指导 性 文件 。 信 息 系统 安全 保障 是 通过 分 析 信息 
系统 的 风险 ,制订 并 执行 相应 的 安全 保障 策略 ,从 技术 ,管理 .工程 和 人 员 等 方面 提出 安全 
保障 的 要 求 ,确保 信息 系统 的 保密 性 、 完 整 性 和 可 用 性 ,将 安全 风险 控制 在 可 接受 的 程度 
的 一 个 动态 过 程 。 与 P2DR 相 比 ,其 有 以 下 几 点 不 同 : 一 是 IATF 突出 了 人 员 的 因素 , 表 
明了 人 员 在 设计 ,实施 、 维 护 \ 管 理 和 运行 过 程 中 的 重要 作用 ;二 是 IATF 给 出 了 网 络 环境 
下 信息 系统 的 组 成 ,根据 功能 将 其 分 为 四 个 部 分 ;三 是 IATF 针对 每 一 个 组 成 部 分 给 出 相 
应 的 安全 技术 ;四 是 IATF 采取 纵深 防御 战略 ;五 是 IATF 强调 了 运行 中 的 安全 功能 实现 
过 程 ;六 是 IATF 强调 基于 信息 系统 全 寿命 保障 安全 目标 。 


1.2 选择 题 分 析 


(1) 关于 信息 安全 的 地 位 和 作用 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 信息 安全 是 网 络 时 代 国 家 生存 和 民族 振兴 的 根本 保障 
B. 信息 安全 是 信息 社会 健康 发 展 和 信息 革命 成 功 的 关键 因素 
C. 信息 安全 是 网 络 时 代 人 类 生存 和 文明 发 展 的 基本 条 件 
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D. 信息 安全 无 法 影响 人 们 的 工作 和 生活 
答案 : D 
【分 析 】 信息 安全 已 经 与 人 们 的 工作 和 生活 息息相关 。 
(2) 以 下 哪 一 项 不 是 加 密 用 于 表示 信息 的 数据 的 原因 ? ( ) 
A. 防止 通过 获取 数据 还 原 出 数据 表示 的 信息 
B. 防止 通过 毁坏 数据 毁坏 数据 表示 的 信息 
C. 防止 通过 算 改 数据 算 改 数据 表示 的 信息 
D. 防止 因为 遗失 数据 导致 数据 表示 的 信息 泄露 
答案 : B 
【分 析 】 通过 毁坏 数据 毁坏 数据 表示 的 信息 的 行为 不 是 通过 数据 加 密 可 以 预防 的 。 
(3) 以 下 哪 一 项 不 是 采用 密码 机 的 因素 ? ( ) 
A. 加 密 算法 越 复杂 ,加 密 运算 量 越 大 , 密 文 越 不 容易 破译 
B. 密 钥 长 度 越 大 ,加 密 运 算 量 越 大 , 密 文 越 不 容易 破译 
C. 加 密 和 解密 过 程 要 求 具有 实时 性 
D. 不 允许 人 接触 加 密 算 法 和 密 钥 
答案 ; D 
【分 析 】 密码 机 加 密 时 使 用 的 加 密 算 法 和 密 钥 与 解密 时 使 用 的 解密 算法 和 密 钥 都 需 
要 人 为 设置 。 
(4) 以 下 哪 一 个 阶段 不 属于 信息 安全 发 展 阶段 ?”(  ) 
A， 有 线 通 信和 无 线 通 信 阶 段 B. 计算 机 存储 信息 阶段 
C. 网 络 阶段 D. 云 计算 阶段 
答案 : D 
【分 析 】 云 计算 是 网 络 阶段 的 一 种 应 用 方式 ,不 是 单独 的 信息 安全 发 展 阶段 。 
(5) 对 于 有 线 通信 和 无 线 通信 阶段 ,以 下 哪 一 项 是 使 加 密 变 得 更 加 重要 的 原因 ? ( ) 
A. 数据 转换 成 信号 后 进行 传播 ,监听 经 过 信道 传播 的 信号 比较 容易 
B. 两 地 之 间 的 数据 传输 时 间 变 短 
C. 两 地 之 间 的 数据 传输 过 程 变 得 容易 
D. 允许 传输 数据 的 两 地 之 间 的 距离 变 得 更 长 
答案 : A 
【分 析 】 由 于 敌 方 容易 监听 到 经 过 信道 传播 的 信号 ,因此 , 敌 方 很 容易 还 原 出 信号 表 
示 的 数据 。 如 果 不 对 数据 加 密 , 则 敌 方 很 容易 从 数据 中 还 原 出 数据 表示 的 信息 。 
(6) 以 下 哪 一 项 不 是 单机 状态 下 的 安全 措施 ? ( ) 
A. 物理 保护 计算 机 ,不 允许 非 授权 人 员 接 触 计算 机 
B. 访问 控制 , 非 授权 人 员 无 法 读 取 或 复制 计算 机 中 的 信息 
C. 防止 计算 机 感染 病毒 
D. 禁止 接 入 任何 输出 设备 
答案 : D 
【分 析 】 在 单机 状态 下 ,如 果 禁 止 接 入 任何 输出 设备 , 则 将 无 法 对 该 计算 机 进行 正常 
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的 读 取 或 复制 操作 。 
(7) 以 下 哪 一 项 不 是 单机 状态 和 网 络 状态 之 间 的 区 别 ?( ) 
A. 数据 转换 成 信号 后 通过 链 路 进行 传播 
B. 转发 节点 中 存储 的 数据 
C. 可 以 远程 实现 对 计算 机 中 数据 的 非法 访问 
D. 计算 机 中 存储 ,处 理 数据 
答案 : D 
【分 析 】 计算 机 中 存储 、 处 理 数据 是 单机 状态 下 也 存在 的 事实 。 
(8) 以 下 哪 一 项 不 是 信息 安全 目标 ? ( ) 
A. 保密 性 B. 完整 性 C. 可 用 性 D. 及 时 性 
答案 : D 
【分 析 】 信息 安全 是 指 保障 信息 系统 已 经 存在 的 信息 的 安全 。 及 时 性 是 指 及 时 更 新 
信息 系统 中 的 信息 ,不 属于 安全 范畴 。 
(9) 数据 完整 性 指 的 是 (  )。 
A. 保护 网 络 中 各 系统 之 间 交 换 的 数据 不 被 泄露 
B. 完成 两 端 实体 的 身份 鉴别 过 程 
C. 防止 非法 实体 对 用 户 的 主动 攻击 ,保证 数据 接收 方 接收 到 的 信息 与 发 送 方 发 
送 的 信息 完全 一 致 
D. 确保 数据 是 由 合法 实体 发 送 的 
答案 : C 
【分 析 】 数据 完整 性 的 定义 就 是 保证 数据 在 传输 过 程 中 不 被 和 修改 和 损坏 。 
(10) 关于 网 络 安全 目标 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 可 用 性 是 指 在 遭受 攻击 的 情况 下 ,网 络 系统 依然 可 以 正常 运转 
B. 保密 性 是 指 网 络 中 的 数据 不 被 非 授权 用 户 访问 
C. 完整 性 是 指 保证 不 出 现 对 已 经 发 送 或 接收 的 信息 予以 否认 的 现象 
D. 可 控 性 是 指 能 够 限制 用 户 对 网 络 资源 的 访问 
答案 : C 
【分 析 】 C 选项 指 的 是 不 可 抵赖 性 的 功能 ,不 是 完整 性 的 功能 。 
(11) 未 授权 的 实体 得 到 了 数据 的 访问 权 , 这 样 做 破坏 了 以 下 哪 一 个 安全 特性 ? ( ”) 
A. 机 密 性 B. 完整 性 C. 合法 性 D. 可 用 性 
答案 : A 
【分 析 】 破坏 了 机 密 性 ,也 称 为 保密 性 。 
(12)“ 保 证 数据 的 一 致 性 ,防止 数据 被 非法 用 户 自 改 ” 指 的 是 以 下 哪 一 个 安全 属性 ? 
( ) 
A. 机 密 性 B. 完整 性 C. 不 可 否认 性 D. 可 用 性 
答案 : B 
【分 析 】 完整 性 指 的 是 信息 在 计算 机 存储 和 网 络 传输 过 程 中 , 非 授权 用 户 无 论 何 时 ， 
通过 何 种 手段 都 不 能 删除 、 复 改 、 伪 造 信息 。 
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(13) 有 一 种 原则 是 对 信息 进行 均衡 ,全 面 的 防护 ,提高 整个 系统 的 “安全 最 低 点 ”的 
安全 性 能 ,该 原则 称 为 (。”)。 


A. 动态 化 原则 。 “B. 木 桶 原则 C. 等 级 性 原则 D. 整体 原则 
答案 : B 
【分 析 】 木 桶 原则 是 木 桶 的 容积 取决 于 木 桶 的 最 短 板 。 因 此 ,信息 系统 的 安全 取决 


于 整个 系统 的 “安全 最 低 点 ”的 安全 性 能 。 
(14) 以 下 哪 一 项 不 属于 网 络 安全 的 范畴 ? ( ) 


A. 网 络 安全 基础 理论 B. 网 络 安全 协议 
C. 网 络 安全 技术 D. 网 络 安全 意识 教育 
答案 : D 
【分 析 】 这 里 的 网 络 安全 是 指 与 保障 信息 可 用 性 、 保 密 性 、 完 整 性 ,不 可 抵赖 性 和 可 
控制 性 相关 的 理论 和 技术 。 
(15) 以 下 哪 一 项 不 是 引发 网 络 安全 问题 的 因素 ? (。 ) 
A. 网 络 管理 和 使 用 缺陷 B. 网 络 技术 缺陷 
C. 网 络 信息 事 关 重大 D. 黑客 入 侵 
答案 : D 


【分 析 】 黑客 入 侵 是 网 络 安全 问题 ,不 是 引发 网 络 安 全 问题 的 因素 。 
(16) 以 下 哪 一 项 不 是 引发 网 络 安全 威胁 的 因素 ? (。 ) 
A. 操作 员 安 全 配置 不 当 而 造成 的 安全 漏洞 
B. 在 不 影响 网 络 正常 工作 的 情况 下 ,进行 截获 ,窃取 ,破译 , 以 获得 重要 机 密 
信息 
C. 安装 非 正版 软件 
答案 : D 
【分 析 】 蜜 摊 系统 用 于 诱骗 黑客 入侵 ,并 监控 黑客 人 侵 过 程 。 因 此 ,安装 密 色 系统 是 
安全 措施 。 
(17) 以 下 哪 一 项 不 属于 引发 网 络 安 全 问题 的 原因 ? (。 ) 
A. 网 络 原 旨 是 方便 通信 
B. 大 量 商 务 活动 在 网 络 上 展开 
C. 网 络 信息 资源 已 经 成 为 重要 的 战略 资源 
D. 网 络 安全 设备 发 展 迅速 
答案 : D 
【分 析 】 网 络 安全 设备 发 展 迅速 是 增强 解决 网 络 安 全 问题 的 能 力 。 
(18) 关于 网 络 安全 协议 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 安全 协议 的 基础 是 加 密 解密 算法 、. 报 文摘 要 算法 .鉴别 机 制 和 数字 签名 等 
B. 安全 协议 用 于 弥补 对 应 网 络 协议 安全 方面 的 缺陷 
C. 安全 协议 用 于 保障 对 应 PDU 对 等 层 之 间 的 安全 传输 
D. 安全 协议 结构 与 TCP/IP 体系 结构 无 关 
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答案 : D 
【分 析 】 安全 协议 结构 是 基于 TCP/IP 体系 结构 的 。 
(19) 关于 网 络 安全 技术 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. TCP/IP 体系 结构 中 的 每 一 层 都 有 对 应 的 安全 技术 
B. 以 太 网 安全 技术 用 于 防御 针对 以 太 网 的 攻击 行为 
C. 传输 层 安全 技术 可 以 保障 互连网 终端 之 间 的 安全 传输 过 程 
D. 网 际 层 安全 技术 不 能 保障 进程 间 的 安全 传输 过 程 
答案 : C 
【分 析 】 传输 层 安全 技术 ,是 在 网 际 层 安全 技术 保障 互连网 终端 之 间 的 安全 传输 过 
程 的 基础 上 ,保障 两 个 进程 之 间 的 安全 传输 过 程 。 
(20) 关于 主机 安全 技术 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 存在 基于 主机 的 防火 墙 
B. 存在 基于 主机 的 人 侵 检测 系统 
C. 存在 基于 主机 的 访问 控制 技术 
D. 传输 层 和 应 用 层 安全 技术 只 能 是 基于 主机 的 安全 技术 
答案 ; D 
【分 析 】 在 TCP/IP 体系 结构 中 ,传输 层 和 应 用 层 的 功能 只 与 主机 有 关 , 与 路 由 器 、 
交换 机 等 互 连 设备 无 关 。 但 有 的 网 络 安全 设备 ,如 Web 应 用 防火 墙 ,由 于 它 的 功能 是 保 
障 Web 服务 器 能 够 正常 提供 访问 服务 ,因此 属于 应 用 层 安全 技术 。 
(21) TCSEC 将 计算 机 系统 安全 划分 为 以 下 哪 一 项 ? ( ) 


A. 三 个 等 级 七 个 级 别 B. 四 个 等 级 七 个 级 别 
C. 五 个 等 级 七 个 级 别 D. 六 个 等 级 七 个 级 别 
答案 ; B 
【分 析 】 由 于 超 Al 级 目前 尚 没 有 实施 ,TCSEC 实际 上 是 将 计算 机 系统 安全 划分 为 
四 类 七 级 。 
(22) 以 下 哪 一 项 不 是 安全 标准 的 作用 ? ( ) 
A. 统一 信息 系统 的 安全 状态 和 安全 功能 


B. 统一 安全 产品 的 安全 等 级 和 安全 功能 
C. 统一 网 络 服务 的 安全 功能 和 安全 等 级 
D. 统一 网 络 安全 产品 的 实现 技术 
答案 : D 
【分 析 】 标准 只 能 统一 网 络 安 全 产品 的 安全 等 级 和 安全 功能 ,不 同 的 厂家 有 着 各 自 
的 实现 技术 。 
(23) 以 下 哪 一 项 关于 安全 模型 的 描述 是 错误 的 ? (。 ) 
A. 精确 地 描述 网 络 环境 下 的 信息 系统 的 组 成 结构 和 行为 
B. 精确 地 描述 保障 信息 系统 安全 所 涉及 的 要 素 ,每 一 个 要 素 的 作用 及 要 素 之 
间 的 相互 关系 
C. 精确 地 描述 信息 系统 行为 与 保障 信息 系统 安全 所 涉及 的 要 素 之 间 的 相互 
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关系 
D. 精确 地 描述 各 种 安全 保障 机 制 的 功能 和 实现 过 程 
答案 : D 
【分 析 】 安全 模型 可 以 清楚 地 描述 信息 系统 行为 与 安全 保障 机 制 之 间 的 相互 关系 ， 
不 会 精确 地 描述 各 种 安全 保障 机 制 的 功能 和 实现 过 程 。 
(24) 以 下 哪 一 项 关于 P2DR 安全 模型 的 描述 是 错误 的 ? ( 。 ) 
A. 安全 策略 是 核心 
B. 安全 保护 措施 的 防护 时 间 越 长 ,信息 系统 越 安 全 
C. 检测 人 侵 和 恢复 系统 的 时 间 越 短 ,信息 系统 越 安全 
D. 安全 保护 措施 的 防护 时 间 完 全 取决 于 采用 的 安全 技术 
答案 : D 
【分 析 】 安全 保护 措施 的 防护 时 间 既 与 采用 的 安全 技术 有 关 , 也 与 人 侵 手段 和 入 侵 
过 程 有 关 。 
(25) 关于 P2DR 安全 模型 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ?(  ) 
A. 没有 清楚 地 描述 网 络 环境 下 的 信息 系统 的 组 成 结构 和 行为 
B. 没有 清楚 地 描述 信息 系统 的 组 成 ,结构 和 行为 与 安全 保障 机 制 之 间 的 相互 
C. 没有 突出 人 员 的 因素 
D. 没有 清楚 地 表明 保障 信息 系统 安全 的 过 程 是 一 个 动态 过 程 
答案 : D 
【分 析 】 P2DR 安全 模型 清楚 地 表明 保障 信息 系统 安全 的 过 程 是 一 个 不 断 调 整 防护 
措施 、 实 时 检测 攻击 行为 .并 及 时 对 攻击 行为 做 出 反应 的 动态 过 程 。 
(26) 关于 P2DR ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 安全 策略 通过 防护 措施 实施 
B. 防护 措施 是 变化 的 ,需要 动态 调整 
C. 检测 结果 是 调整 防护 措施 的 依据 之 一 
D. 响应 过 程 可 能 涉及 防护 措施 调整 
答案 : A 
【分 析 】 实施 安全 策略 是 一 个 动态 过 程 ,检测 用 于 了 解 和 评估 信息 系统 的 安全 状态 ， 
发 现 人 侵 行为 和 入 侵 后 果 , 响 应 用 于 将 信息 系统 恢复 到 正常 状态 ,防护 措施 需要 根据 检测 
结果 和 响应 不 断 调整 。 
(27) 关于 信息 保障 技术 框架 (IATF) ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. IATF 核心 要 素 由 人 员 ,技术 和 运行 组 成 
B. IATF 强调 基于 信息 系统 全 寿命 保障 安全 目标 
C. IATF 突出 了 人 员 在 设计 实施 、 维 护 管理 和 运行 过 程 中 的 重要 作用 
D. IATF 没有 清楚 地 描述 网 络 环境 下 的 信息 系统 的 组 成 .结构 和 行为 
答案 : D 
【分 析 】 IATF 给 出 了 网 络 环境 下 信息 系统 的 组 成 ,根据 功能 将 其 分 为 四 个 部 分 。 





(28) 关于 审计 ,以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 保证 数据 接收 方 接收 到 的 信息 与 发 送 方 发 送 的 信息 完全 一 至 
B. 防止 因数 据 被 截获 而 造成 的 泄露 
C. 对 用 户 和 程序 使 用 资源 的 情况 进行 记录 和 审查 
D. 保证 信息 使 用 者 都 可 得 到 相应 授权 的 全 部 服务 
答案 : C 
【分 析 】 审计 包含 两 方面 内 容 , 一 是 通过 日 志 记 录用 户 和 程序 使 用 资源 的 情况 ;二 是 
对 日 志 进 行 检查 、 分 析 , 以 此 发 现 用 户 和 程序 使 用 资源 过 程 中 可 能 存在 的 问题 。 
(29) 关于 网 络 威胁 对 象 ,以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 网 络 中 的 信息 和 网 络 中 的 设备 B. 使 用 网 络 的 人 员 
C. 管理 网 络 的 人 D. 转发 节点 和 链 路 
答案 : A 
【分 析 】 网 络 环境 下 的 信息 系统 由 主机 、 链 路 和 转发 节点 等 网 络 中 的 设备 与 分 布 在 
主机 、 链 路 和 转发 节点 中 的 信息 组 成 。 因 此 ,网 络 中 的 信息 和 网 络 中 的 设备 是 网 络 威胁 
对 象 。 
(30) 关于 网 络 安全 ,以 下 哪 一 项 描述 是 正确 的 ?7 ( 。 ) 
A. 安全 策略 .安全 技术 和 管理 的 综合 
B. 安全 技术 实施 过 程 
C. 根据 安全 策略 实施 安全 技术 
D. 强化 管理 
答案 : A 
【分 析 】 网 络 安全 是 策略 ,技术 和 管理 的 综合 ,单一 的 管理 或 技术 都 不 能 实现 网 络 安 
全 这 一 目标 。 
(31) 以 下 哪 一 项 是 企业 安全 策略 的 主要 功能 ? (。 ) 
A. 指定 用 于 解决 特定 安全 问题 的 安全 标准 
B. 给 出 安全 设备 选择 .配置 和 实施 指南 
C. 指定 需要 保护 的 基础 设施 
D. 定义 必须 实现 的 安全 目标 和 用 于 实现 安全 目标 的 安全 架构 
答案 : D 
【分 析 】 安全 策略 是 宏观 的 ,更 多 地 关注 必须 实现 的 安全 目标 和 用 于 实现 安全 目标 
的 安全 架构 ,防护 ,检测 和 响应 是 微观 的 ,更 多 地 关注 标准 ,设备 和 需要 保护 的 基础 设施 。 
(32) 计算 机 犯罪 是 指 利用 信息 科学 技术 上 且 以 计算 机 为 犯罪 对 象 的 犯罪 行为 ,与 其 他 
类 型 犯罪 相 比 具有 明显 的 特征 ,下 列 说 法 中 哪 一 项 是 错误 的 ? (  ) 
A. 计算 机 犯罪 具有 隐蔽 性 
B. 计算 机 犯罪 具有 高 智能 性 ,罪犯 可 能 掌握 一 些 高 科技 手段 
C. 计算 机 犯罪 具有 很 强 的 破坏 性 
D. 计算 机 犯罪 没有 犯罪 现场 
答案 : D 
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【分 析 】 计算 机 犯罪 是 存在 犯罪 现场 的 ,只 是 现场 取证 过 程 比较 复杂 和 困难 。 


1.3 名 词 解 释 


(1) 信息 安全 

信息 系统 中 的 信息 不 会 因为 偶然 或 者 恶意 的 原因 而 遭受 破坏 、 更 改 和 泄露 ,信息 系统 
能 够 持续 ,不 间断 地 提供 信息 服务 。 

(2) 网 络 安全 

保障 网 络 环境 下 的 信息 系统 中 分 布 在 主机 、 链 路 和 转发 节点 中 的 信息 不 受 威胁 ,没有 
危险 .危害 和 损失 。 

(3) 信息 

信息 是 对 客观 世界 中 各 种 事物 的 运动 状态 和 变化 的 反映 ,是 客观 事物 之 间 相互 联系 
和 相互 作用 的 表征 ,表现 的 是 客观 事物 运动 状态 和 变化 的 本 质 内 容 。 

(4) 数据 

记录 信息 的 形式 。 

(5) 信号 

数据 的 电气 或 电磁 表现 。 

(6) 信息 安全 目标 

保障 信息 的 可 用 性 ,保密 性 ,完整 性 \ 不 可 抵赖 性 和 可 控制 性 等 。 

(7) 安全 模型 

以 建 模 的 方式 给 出 解决 安全 问题 的 方法 和 过 程 。 

(8) 安全 策略 

为 实现 信息 系统 的 安全 目标 ,对 所 有 与 信息 系统 安全 相关 的 活动 所 制订 的 规则 。 

(9) P2DR 安全 模型 

由 策略 (Policy) ,防护 (Protection) ,检测 (Detection) 和 响应 (Response) 这 四 个 要 素 
组 成 的 安全 模型 。 

(10) IATF 

由 美国 国家 安全 局 (NSA) 制 定 的 用 于 描述 信息 系统 安全 保障 的 指导 性 文件 。 

(11) 信息 系统 安全 保障 

通过 分 析 信息 系统 的 风险 ,制订 并 执行 相应 的 安全 保障 策略 ,从 技术 ,管理 .工程 和 人 
员 等 方面 提出 安全 保障 要 求 ,确保 信息 系统 的 保密 性 、 完 整 性 和 可 用 性 ,将 安全 风险 控制 
在 可 接受 的 程度 的 一 个 动态 过 程 。 
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【例题 2.1】 简 述 网 络 是 病毒 和 蠕虫 快速 传播 的 通道 的 理由 。 

【解析 】 目前 常见 的 病毒 和 蠕虫 的 传播 方式 有 以 下 几 种 : 

J@ 通过 移动 存储 媒介 在 主机 系统 之 间 相 互 复制 文件 ; 

@ 浏览 嵌入 恶意 代码 的 Web 主页 ; 

@ 打开 作为 邮件 附件 的 感染 病毒 的 宿主 程序 ; 

@ 下 载 并 运行 感染 病毒 的 实用 程序 ; 

@ 在 共享 目录 中 保存 感染 病毒 的 宿主 程序 ; 

@ 利用 主机 系统 漏洞 上 传 蠕虫 或 感染 病毒 的 宿主 程序 等 。 

在 上 述 病毒 传播 方式 中 ,除了 通过 移动 存储 媒介 传播 病毒 外 ,其 他 传播 方式 都 需 通 过 
网 络 进行 ,因此 ,网 络 是 病毒 和 蠕虫 快速 传播 的 主要 通道 。 

【例题 2.2】 简 述 恶意 代码 长 期 存在 的 理由 。 

【解析 】 导致 恶意 代码 存在 的 主要 原因 是 主机 系统 的 漏洞 ,包括 操作 系统 漏洞 和 应 
用 程序 漏洞 。 在 未 来 较 长 一 段 时 间 内 ,不 可 能 编写 出 没有 安全 漏洞 的 操作 系统 和 应 用 程 
序 , 因 此 ,肯定 会 产生 针对 各 种 漏洞 的 恶意 代码 。 网 络 是 传播 恶意 代码 的 主要 通道 ,网 络 
安全 技术 无 法 完全 阻隔 病毒 传播 通路 ,也 无 法 完全 阻止 黑客 通过 网 络 扫描 到 存在 漏洞 的 
主机 系统 ,并 通过 网 络 将 针对 该 漏洞 的 恶意 代码 上 传 到 该 主机 系统 并 激活 。 

【例题 2. 3】 简 述 黑客 能 够 成 功 入 侵 主 机 系统 的 原因 及 应 对 策略 。 

【解析 】 黑客 能 够 成 功 人 侵 主机 系统 的 原因 在 于 以 下 四 个 方面 : 一 是 基于 当前 的 软 
件 设计 理论 和 方法 ,从 根本 上 消除 大 型 软件 (操作 系统 和 大 型 的 应 用 程序 ) 的 漏洞 是 不 可 
能 的 ;二 是 随 着 时 间 的 推移 ,使 用 的 用 户 逐 渐 增 多 ,漏洞 终 将 被 发 现 。 还 有 一 些 组 织 和 机 
构 专门 研究 流行 操作 系统 和 应 用 程序 的 漏洞 ,并 公开 研究 结果 ;三 是 一 旦 发 现 漏洞 ,就 会 
出 现 针对 该 漏洞 的 攻击 软件 ,并 流行 开 来 ;四 是 只 要 某 个 主机 系统 还 没有 用 补丁 软件 修补 
该 漏洞 ,黑客 就 可 通过 针对 该 漏洞 的 攻击 软件 对 该 主机 系统 实施 攻击 。 

应 对 策略 分 以 下 三 个 方面 。 一 是 通过 网 络 安全 技术 阻止 黑客 完成 攻击 过 程 。 黑 客 成 
功 攻击 某 个 主机 系统 的 步 又 包括 : 

人 建立 与 该 主机 系统 之 间 的 传输 通路 ; 
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@ 通过 扫描 发 现 该 主机 系统 的 操作 系统 或 应 用 程序 存在 漏洞 且 没 有 用 补丁 软件 
修补 ; 

@ 使 用 针对 该 漏洞 的 攻击 软件 实施 攻击 。 

网 络 安全 技术 可 以 阻止 黑客 完成 上 述 步骤 ,如 通过 接 入 控制 阻止 黑客 终端 接 入 网 络 ，; 
通过 防火 墙 的 访问 控制 策略 阻止 黑客 终端 向 该 主机 系统 传输 与 漏洞 扫描 和 攻击 有 关 的 报 
文 ;通过 网 络 人 侵 检测 系统 发 现 黑客 正在 实施 的 扫描 和 攻击 行为 ,并 予以 反 制 。 

二 是 主机 入 侵 检 测 系统 能 够 对 主机 资源 的 访问 过 程 实施 严格 管制 。 黑 客 攻击 主机 系 
统 的 目的 或 是 窃取 主机 系统 信息 资源 ,或 是 破坏 主机 系统 资源 ,使 其 崩溃 ,或 是 建立 后 门 ， 
以 便 长 期 控制 该 主机 系统 。 完 成 这 些 操作 都 需 黑客 完成 对 主机 系统 核心 资源 的 访问 ,如 
果 主 机 入 侵 检测 系统 能 够 有 效 阻止 黑客 对 主机 系统 核心 资源 的 访问 过 程 ,那么 黑客 将 无 
法 继续 对 该 主机 系统 的 攻击 行为 。 

三 是 及 时 下 载 并 运行 补丁 软件 。 只 要 在 黑客 针对 该 漏洞 对 主机 系统 实施 攻击 前 , 主 
机 系统 通过 补丁 软件 修补 了 该 漏洞 ,黑客 针对 该 漏洞 对 主机 系统 实施 的 攻击 就 无 法 成 功 。 

【例题 2. 4】 简 述 拒绝 服务 攻击 的 应 对 措施 。 

【解析 】 拒绝 服务 攻击 可 以 分 为 针对 主机 系统 漏洞 实施 的 拒绝 服务 攻击 和 通过 过 度 
消耗 主机 系统 资源 ,使 其 无 法 与 其 他 主机 系统 正常 通信 并 提供 服务 的 拒绝 服务 攻击 两 种 ， 
对 于 前 一 种 拒绝 服务 攻击 ,如 Ping of Death、Land 等 ,一 是 可 以 通过 修正 操作 系统 和 协议 
实现 程序 的 漏洞 予以 解决 ;二 是 实施 这 种 拒绝 服务 攻击 的 报 文具 有 一 定 特征 ,网 络 中 的 信 
息 传输 设备 和 信息 交换 控制 设备 ,如 路 由 器 .防火墙 ,网 络 信 侵 检 测 系统 等 ,能 够 检测 出 具 
有 该 类 特征 的 报 文 ,并 予以 丢弃 。 

对 于 后 一 种 拒绝 服务 攻击 ,如 Smurf 等 ,一 是 攻击 报 文通 常 采用 原本 不 存在 的 IP 
地 址 ,或 攻击 目标 的 IP 地 址 作为 源 耳 地 址 。 二 是 在 攻击 过 程 中 , 某 种 类 型 的 流量 会 出 
现 异 常 。 因 此 可 以 采用 以 下 应 对 措施 : 可 以 通过 交换 机 的 接 入 控制 过 程 和 路 由 器 的 单 
播 反 向 路 径 验 证 功能 禁止 源 IP 地 址 不 正确 的 全 分 组 进入 网 络 ;通过 分 布 式 网 络 入 侵 
检测 系统 对 各 种 类 型 报 文 的 流量 进行 监控 ,一 旦 出 现 较 大 范围 的 波动 ,立即 示警 并 也 
以 反 制 ;可 以 通过 流量 管制 器 对 一 些 和 常见 拒绝 服务 攻击 有 关 的 报 文 类 型 的 流量 进行 
管制 。 
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【例题 2.5】 列 出 三 种 嗅 探 攻击 ,并 简 述 实现 机 制 。 

【解析 】 嗅 探 攻击 一 般 具 有 以 下 两 个 特点 : 一 是 不 能 影响 MAC 帧 源 端 至 目的 端的 
传输 过 程 ;二 是 要 求 攻击 过 程 对 MAC 帧 的 源 端 和 目的 端 是 透明 的 。 

图 2. 1 展示 了 利用 集线器 实施 嗅 探 攻击 的 过 程 ,由 于 集线器 采用 广播 方式 转发 从 任 
何 一 个 集线器 端口 接收 到 的 MAC 帧 ,因此 黑客 终端 可 以 嗅 探 到 交换 机 与 路 由 器 之 间 传 
输 的 所 有 MAC 帧 。 

图 2.2 展示 了 利用 MAC 表 溢 出 实施 嗅 探 攻击 的 过 程 ,黑客 终端 通过 持续 发 送 源 
MAC 地 址 是 伪造 的 MAC 地 址 的 MAC 帧 ,使 交换 机 的 MAC 表 溢出 ,从 而 使 交换 机 采用 
广播 方式 转发 从 任何 一 个 交换 机 端口 接收 到 的 MAC 帧 ,黑客 终端 因此 可 以 嗅 探 到 交换 
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机 与 路 由 器 之 间 传 输 的 所 有 MAC 帧 。 

图 2. 3 展示 了 利用 生成 树 欺骗 实施 嗅 探 攻 击 的 过 程 ,黑客 终端 成 为 生成 树 的 根 网 桥 ， 
导致 终端 A 和 终端 B 与 终端 C 之 间 交 换 的 MAC 帧 经 过 黑客 终端 。 

值得 强调 的 是 ,图 2. 3 实际 上 是 利用 生成 树 欺骗 实施 截获 攻击 的 过 程 展示 。 如 果 黑 
客 终端 复制 下 从 一 个 端口 接收 到 的 MAC 帧 后 ,原封 不 动 地 将 MAC 帧 从 另 一 个 端口 转 
发 出 去 ,如 图 2. 3 所 示 的 攻击 过 程 对 MAC 帧 的 源 和 目的 终端 也 是 透明 的 。 
































终端 A 黑客 。 终端 C 终端 A 黑客 。 终端 C 
终端 


图 2.3 利用 生成 树 欺骗 实施 嗅 探 攻击 的 过 程 


【例题 2. 6】 列 出 三 种 截获 攻击 ,并 简 述 实现 机 制 。 

【解析 】 图 2. 4 展示 了 利用 MAC 地 址 欺骗 实施 截获 攻击 的 过 程 。 如 果 黑 客 终端 想 
要 截获 其 他 终端 发 送 给 终端 C 的 MAC 帧 , 则 黑客 终端 会 发 送 一 个 以 终端 C 的 MAC 地 
址 为 源 MAC 地 址 ,以 广播 地 址 为 目的 MAC 地 址 的 MAC 帧 ,将 通 往 黑客 终端 的 交换 路 
径 伪造 成 通 往 终端 C 的 交换 路 径 , 使 所 有 以 终端 C 的 MAC 地 址 为 目的 MAC 地 址 的 
MAC 帧 都 被 以 太 网 错误 地 转发 给 黑客 终端 。 

图 2.5 展示 了 利用 DHCP 欺骗 实施 截获 攻击 的 过 程 。 如 果 黑 客 终端 想 要 截获 其 他 
终端 发 送 给 路 由 器 的 IP 分 组 ,黑客 终端 将 一 个 伪造 的 DHCP 服务 器 接 入 以 太 网 ,并 在 配 
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2.4 利用 MAC 地 址 欺骗 实施 截获 攻击 的 过 程 








伪造 的 DHCP 服 务 伪造 的 
器 配置 的 作用 域 DHCP 服 务 器 
S2 
子 网 捷 码 : 255.255.255.0 
了 地 址 范围 ， 192.1.1.1-192.1.1.252 蝇 192.1:1.254. [> 路 由 器 
默认 网 关 : 192.1.1.253 
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终端 A 终端 终端 C 终端 D 黑客 终端 
192.1.1.253 


图 2.5 利用 DHCP 欺骗 实施 截获 攻击 的 过 程 


置 伪造 的 DHCP 服务 器 的 作用 域 时 ,将 黑客 终端 的 IP 地 址 作为 默认 网 关 地 址 ,使 所 有 从 
伪造 的 DHCP 服务 器 获取 网 络 信息 的 终端 错误 地 将 黑客 终端 作为 默认 网 关 , 并 因此 将 所 
有 发 送 给 其 他 网 络 的 IP 分 组 首先 发 送 给 黑客 终端 。 

图 2.6 展示 了 利用 ARP 欺骗 实施 截获 攻击 的 过 程 。 如 果 黑 客 终端 想 要 截获 其 他 终 
端 发 送 给 路 由 器 的 IP 分 组 , 则 黑客 终端 会 伪造 一 个 将 路 由 器 的 IP 地 址 和 黑客 终端 的 


192.1.1.254 
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路 由 器 


SY $3 
/ \ FCS | 数据 ”|ARP | MAC H| 任 任 任 佣 企 他 | 
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图 2.6 利用 ARP 欺骗 实施 截获 攻击 的 过 程 
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MAC 地 址 绑 定 在 一 起 的 ARP 报 文 ,并 在 以 太 网 中 广播 该 ARP 报 文 。 其 他 终端 接收 到 
该 ARP 报 文 后 ,在 ARP 缓冲 区 中 记录 下 IP 地 址 192.1.1.254 与 MAC 地 址 MACH 的 
绑 定 项 。 以 后 所 有 发 送 给 默认 路 由 器 的 IP 分 组 ,都 被 封装 成 以 MAC HH 为 目的 MAC 地 
址 的 MAC 帧 ,该 MAC 帧 将 到 达 黑 客 终 端 。 

【例题 2.7】 互连网 结构 如 图 2.7 所 示 ,给 出 正常 情况 下 路 由 器 R2、R3 和 R5 的 路 
由 表 。 如 果 路 由 器 R5 需要 复制 网 络 192. 1. 3. 0/24 中 的 终端 与 Web 服务 器 之 间 传 输 的 
IP 分 组 ,请 给 出 实现 方法 和 路 由 器 R2、R3、R5 的 路 由 表 。 





192.1.3.0/24 


Rl R2 R3 R4 
SD®® ® © 
Web 服 务 器 
192.1.7.7 


192.1.7.0/24 








图 2.7 互连网 结构 


【解析 】 在 正常 情况 下 ,路 由 器 R2、R3 和 R5 的 路 由 表 分 别 如 表 2. 1、 表 2. 2 和 
表 2.3 所 示 。R2 通 往 网 络 192. 1. 7. 0/24 的 传输 路 径 的 下 一 跳 是 路 由 器 R3。 同 样 ,R3 
通 往 网 络 192. 1. 3.0/24 的 传输 路 径 的 下 一 跳 是 路 由 器 R2 ,网 络 192. 1. 3. 0/24 中 的 终端 
与 Web 服务 器 之 间 传 输 的 IP 分 组 不 会 经 过 路 由 器 R5。 

为 了 使 网 络 192. 1. 3. 0/24 中 的 终端 与 Web 服务 器 之 间 传输 的 IP 分 组 经 过 路 由 器 
R5 ,路 由 器 R5 向 路 由 器 R2 发 送 一 个 表明 直接 与 网 络 192. 1. 7. 0/24 相连 的 路 由 项 ,该 路 
由 项 中 的 距离 为 0, 使 路 由 器 R2 将 用 于 表明 通 往 网 络 192. 1. 7. 0/24 的 传输 路 径 的 路 由 
项 改 为 表 2. 4 所 示 的 参数 ,下 一 跳 改 为 路 由 器 R5, 距 离 改 为 1。 路 由 器 R5 向 路 由 器 R3 
发 送 一 个 表明 直接 与 网 络 192. 1. 3.0/24 相连 的 路 由 项 ,该 路 由 项 中 的 距离 为 0, 使 路 由 
器 R3 将 用 于 表明 通 往 网 络 192. 1. 3. 0/24 的 传输 路 径 的 路 由 项 改 为 表 2. 5 所 示 的 参数 ， 
下 一 跳 改 为 路 由 器 R5, 距 离 改 为 1。 因 此 ,路 由 器 R2 将 所 有 目的 IP 地 址 属于 CIDR 地 
址 块 192.1.7.0/24 的 IP 分 组 转发 给 路 由 器 R5 ,同样 ,路 由 器 R3 将 所 有 目的 IP 地 址 属 
于 CIDR 地 址 块 192. 1. 3.0/24 的 IP 分 组 转发 给 路 由 器 R5。 保 证 网 络 192. 1. 3. 0/24 中 
的 终端 与 Web 服务 器 之 间 传 输 的 IP 分 组 经 过 路 由 器 R5 。 


表 2.1 路 由 器 R2 路 由 表 








目的 网 络 子 网 掩 码 输出 接口 下 一 跳 距 高 
192.1.3.0 255. 255. 255.0 1 Rl 1 
192.1.7.0 255. 255. 255.0 2 R3 多 


表 2.2 路 由 器 R3 路 由 表 
目的 网 络 子 网 掩 码 输出 接口 下 一 跳 距 高 


192.1.3.0 255. 255. 255.0 1 R2 2 








192.1.7.0 255. 255. 255.0 3 R4 1 
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表 2.3 路 由 器 RS 路 由 表 








目的 网 络 子 网 掩 码 输出 接口 下 一 跳 距 高 
192.1.3.0 255, 255.255.0 1 R2 2 
192.1.7.0 255. 255. 255.0 R3 2 


表 2.4 路 由 器 R2 路 由 表 








目的 网 络 子 网 掩 码 输出 接口 下 一 跳 距 高 
192, 1.3,0 255, 255. 255.0 i Rl i 
192.1.7.0 255. 255. 255. 0 3 R5 1 














表 2.5 路 由 器 R3 路 由 表 




















目的 网 络 子 网 掩 码 输出 接口 下 一 跳 距 高 
192.1.3.0 255. 255. 255.0 2 R5 i 
192.1.7.0 255. 255. 255.0 3 R4 


【例题 2. 8】 以 太 网 结构 如 图 2. 8 所 示 , 如 果 要 求 黑客 终端 能 够 在 其 他 终端 不 察觉 


的 情况 下 , 嗅 探 以 太 网 中 各 个 终端 之 间 传 输 的 S 
MAC 帧 ,请 给 出 实现 过 程 。 

【解析 】 由 于 该 以 太 网 结构 是 交换 式 以 太 1 2 
网 ,因此 ,只 有 在 各 台 交换 机 以 广播 方式 转发 各 个 4 
终端 之 间 传 输 的 MAC 帧 时 ,黑客 终端 才能 嗅 探 ”51 i 


到 以 太 网 中 各 个 终端 之 间 传 输 的 MAC 帧 。 黑 客 
终端 需要 实施 MAC 表 溢 出 攻击 ,持续 发 送 以 随 D | 加 品 上 口 
机 产生 的 单 播 MAC 地 址 为 源 MAC 地 址 广播 地 [至 = 三 三 


址 为 目的 MAC 地 址 的 MAC 帧 。 导 致 交换 机 局 弟 A 。 扣 削 次 漳 C。 黑客 终 活 


S1.S2 和 S3 中 的 MAC 表 溢 出 ,交换 机 S1、.S2 和 人 PA PB PC 
S3 以 广播 方式 转发 各 个 终端 之 间 传 输 的 图 2.8 以 太 网 结构 
MAC 帧 。 

【例题 2.9】 互连网 结构 如 图 2. 9 所 示 ,假定 由 a. com 域 域名 服务 器 完成 完全 合格 
的 域名 www. a. com 的 解析 过 程 ,由 b. edu 域 域名 服务 器 完成 完全 合格 的 域名 www. b. 
edu 的 解析 过 程 ,终端 A 以 a. com 域 域名 服务 器 为 本 地 域名 服务 器 ,终端 B 以 b.edu 域 
域名 服务 器 为 本 地 域名 服务 器 ,给 出 使 终端 A 和 终端 BB 能 够 以 完全 合格 的 域名 www. a. 
com 和 www. b. edu 访问 Web 服务 器 1 和 Web 服务 器 2 所 需 的 配置 信息 。 如 果 黑 客 想 
要 实现 针对 完全 合格 的 域名 www. a. com 和 www. b. edu 的 钓鱼 网 站 ,请 给 出 实现 过 程 
和 相关 配置 。 

【解析 】 在 该 互连网 结构 中 ,路 由 器 R1 连接 网 络 192. 1. 1. 0/24 的 接口 需要 配置 中 
继 地 址 192. 1. 3.3。 同 样 ,路 由 器 R4 连接 网 络 192. 1. 5. 0/24 的 接口 需要 配置 中 继 地 址 
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Web 服 务 器 1 4 Web 服 务 器 2 
WWW.a.com Www.b.edu 
192.1.1.2 192.1.5.2 















192.1.1.0/24 192.1.5.0/24 








B® 3 ® 








R2 R3 
acom 域 域名 服务 器 b.edu 域 域名 服务 器 
dns.a.com dns.b.edu 
192.1.2.7 192.1.4.7 
图 2.9 互连网 结构 


192.1. 3. 3, 这样 才 能 保证 终端 A 和 终端 B 可 以 通过 DHCP 服务 器 获取 网 络 信息 。 
DHCP 服务 器 中 需要 定义 两 个 作用 域 ,如 图 2. 10 所 
示 , 针 对 网 络 192. 1. 1.0/24 的 作用 域 ,默认 网 关 地 址 - 
上 默认 网 关 地 址 : 192.1.1.254 

是 路 由 器 R1 连接 网 络 192. 1. 1. 0/24 的 接口 的 IP 地 | 本 地 域名 服务 器 地 址 : 192.1.2.7 
址 ,本 地 域名 服务 器 地 址 是 a com 域 域名 服务 器 的 “ee 国 Pr 
IP 地 址 ,IP 地 址 范围 是 属于 CIDR 地 址 块 192. 1. 1. 作用 域 2 
0/24 且 可 以 分 配给 终端 的 一 组 瑟 地 址 。 针 对 网 络 | 时 让 加 关 拓 站 2 so 47 
192. 1. 5， 0/24 的 作用 域 ,默认 网 关 地 址 是 路 由 器 R4 IP 地 址 范围 . 192.1.5.6~192.1.5.116 
连接 网 络 192. 1. 5. 0/24 的 接口 的 IP 地 址 ,本 地 域名 
服务 器 地 址 是 b. edu 域 域名 服务 器 的 IP 地 址 ,IP 地 
址 范围 是 属于 CIDR 地 址 块 192. 1. 5. 0/24 且 可 以 分 配给 终端 的 一 组 卫 地址 。 

根据 要 求 , 由 a. com 域 域名 服务 器 完成 完全 合格 的 域名 www. a. com 的 解析 过 程 , 由 
b. edu 域 域名 服务 器 完成 完全 合格 的 域名 www. b. edu 的 解析 过 程 , 因 此 ,a. com 域 域名 
服务 器 能 够 将 解析 完全 合格 的 域名 www. b. edu 的 解析 请 求 转发 给 b. edu 域 域名 服务 
器 ,同样 ,b. edu 域 域名 服务 器 能 够 将 解析 完全 合格 的 域名 www. a. com 的 解析 请 求 转发 
给 a. com 域 域名 服务 器 。 满 足 上 述 需求 的 a. com 域 域名 服务 器 中 的 资源 记录 如 表 2. 6 
所 示 ,b. edu 域 域名 服务 器 中 的 资源 记录 如 表 2.7 所 示 。 


作用 域 1 




















图 2.10 DHCP 服务 器 作用 域 











表 2.6 a. com 域 域名 服务 器 资源 记录 表 2.7 b. edu 域 域名 服务 器 资源 记录 
名 字 类 型 值 名 字 类 型 值 
Www. a. com A 192.1.1.2 www. b. edu A 192.1.5.2 
b. edu NS dns. b. edu a. com NS dns. a. com 
dns. b. edu A 192.1.4.7 dns. a. com A 192.1.2.7 














实施 钓鱼 网 站 的 互连网 结构 如 图 2. 11 所 示 , 为 了 实施 钓鱼 网 站 ,需要 终端 获得 错误 
的 本 地 域名 服务 器 地 址 ,因此 ,需要 在 网 络 中 接 入 伪造 的 DHCP 服务 器 ,伪造 的 DHCP 
服务 器 中 给 出 错误 的 本 地 域名 服务 器 地 址 ,错误 的 本 地 域名 服务 器 地 址 是 伪造 的 域名 服 
务 器 的 IP 地 址 。 两 个 伪造 的 DHCP 服务 器 的 作用 域 分 别 如 图 2. 12 所 示 。 为 了 让 终端 
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能 够 从 伪造 的 DHCP 服务 器 获取 网 络 信息 ,直接 将 伪造 的 DHCP 服务 器 接 人 网 络 192. 
1.1.0/24 和 网 络 192. 1. 5. 0/24 中 。 伪 造 的 域名 服务 器 中 的 资源 记录 建立 完全 合格 的 域 
名 www.a. com 和 www.b. edu 与 两 个 伪造 的 Web 服务 器 的 IP 地址 之 间 的 绑 定 关系 , 伪 
造 的 域名 服务 器 的 资源 记录 如 表 2. 8 所 示 。 对 于 如 图 2. 11 所 示 的 互连网 结构 ,如 果 终 端 
A 和 终端 B 从 伪造 的 DHCP 服务 器 获取 网 络 信息 ,本 地 域名 服务 器 地 址 是 伪造 的 域名 服 
务 器 的 IP 地 址 , 当 终 端 A 和 终端 B 需 要 解析 完全 合格 的 域名 www. a. com 和 www.b. 
edu 时 ,将 解析 请 求 发 送 给 伪造 的 域名 服务 器 ,伪造 的 域名 服务 器 返回 的 IP 地 址 是 伪造 
的 Web 服务 器 的 IP 地址 。 


伪造 的 伪造 的 
Web 服务 器 1 Web 服务 器 2 
Wwwacom DHCP 服 务 器 Www.b.edu 
Web 服 务 器 1 192.122 192.133 192.142 Web 服 务 器 2 
Wwwacom 一 www.b.edu 






192.1.1.2 








192.1.1.024 192.1.5.0/24 



































个 于 
终端 A 终端 B 
伪造 的 acom 域 域名 服务 器 伪造 的 bedu 域 域名 服务 器 伪造 的 
DHCP 上 服务 尖 1 dns.a.com 域名 服务 器 dnsbedu DHCP 上 服务 串 2 
192.1.13 192.12.7 192.13.1 192.1.4.7 192.1.53 


图 2.11 实施 钓鱼 网 站 的 互连网 结构 




















作用 域 作用 域 
默认 网 关 地 址 : 192.1.1.254 默认 网 关 地 址 : 192.1.5.254 
本 地 域名 服务 器 地 址 : 192.1.3.1 本 地 域名 服务 器 地 址 : 192.1.3.1 
IP 地 址 范围 : 192.1.1.6~192.1.1.116 IP 地 址 范围 : 192.1.5.6~192.1.5.116 
(a) 伪造 的 DHCP 服 务 器 1 作用 域 (b) 伪造 的 DHCP 服 务 器 2 作用 域 


图 2.12 伪造 的 DHCP 服务 器 作用 域 


表 2.8 伪造 的 域名 服务 器 资源 记录 














名 字 类 型 值 
www. b. edu A 192.1.4.2 
Www. a. com A 192. 1. 2. 2 

2.2 选择 题 分 析 


(1) 以 下 哪 一 项 关于 网 络 攻击 的 描述 是 错误 的 ? ( ) 
A. 网 络 硬件 .软件 和 协议 存在 漏洞 
B. 网 络 广泛 应 用 
C. 攻击 网 络 有 利 可 图 
D. 所 有 攻击 行为 都 会 对 网 络 和 用 户 产生 影 


第 2 章 网 络 攻 击 ‘© 
答案 : D 


【分 析 】 被 动 攻击 对 于 网 络 和 用 户 是 透明 的 ,不 会 对 网 络 和 用 户 产生 影响 。 
(2) 以 下 哪 一 项 不 属于 网 络 面临 的 安全 问题 ? ( ) 
A. 病毒 B. 拒绝 服务 攻击 
C. 非法 访问 D. 网 络 设备 快速 更 新 
答案 : D 
【分 析 】 前 三 项 都 是 网 络 目前 面临 的 安全 问题 。 
(3) 以 下 哪 一 项 无 法 破坏 网 络 的 可 用 性 ? ( ) 
A. 病毒 B. 拒绝 服务 攻击 
C. 非法 访问 D. 线 缆 遭 受 破坏 
答案 : C 
【分 析 】 非法 访问 破坏 信息 的 保密 性 ,为 了 隐蔽 ,一 般 不 会 破坏 信息 的 可 用 性 。 
(4) 以 下 哪 一 项 和 信息 保密 性 无 关 ? (。 ) 
A. 加 密 /解密 算法 B. 终端 接 人 控制 
C. 病毒 D. 拒绝 服务 攻击 
答案 : D 
【分 析 】 A 和 BB 选项 与 实现 信息 保密 性 有 关 ,C 选项 与 破坏 信息 保密 性 有 关 。 拒 绝 
服务 攻击 一 般 只 与 破坏 信息 可 用 性 有 关 。 
(5) 以 下 哪 一 项 和 信息 完整 性 无 关 ? (。 ) 
A. 加 密 / 解 密 算法 B. 报 文摘 要 算法 
C. 信息 嗅 探 攻击 D. 信息 拦截 攻击 
答案 : C 
【分 析 】 A 和 B 选 项 与 实现 信息 完整 性 有 关 ,D 选项 与 破坏 信息 完整 性 有 关 。 信 息 
嗅 探 攻 击 一 般 只 与 破坏 信息 保密 性 有 关 。 
(6) 以 下 哪 一 项 不 属于 主动 攻击 ? (  ) 
A. 流量 分 析 B. 重 放 C. IP 地 址 欺骗 D. 拒绝 服务 
答案 : A 
【分 析 】 主动 攻击 是 指 会 改变 网 络 中 的 信息 ,状态 和 信息 流 模式 的 攻击 行为 。 被 动 
攻击 是 指 不 会 对 经 过 网 络 传输 的 信息 、 网 络 状态 和 网 络 信息 流 模式 产生 影响 的 攻击 行为 。 
流量 分 析 只 需 嗅 探 经 过 网 络 传输 的 信息 ,因此 属于 被 动 攻击 。 
(7) 以 下 哪 一 项 属于 主动 攻击 ? (  ) 


A. 算 改 和 破坏 数据 B. 嗅 探 数据 
C. 数据 流 分 析 D. 非法 访问 
答案 : A 


【分 析 】 主动 攻击 是 指 会 改变 网 络 中 的 信息 ,状态 和 信息 流 模式 的 攻击 行为 。 只 有 
A 选项 具有 上 述 特征 。 
(8) 关于 嗅 探 攻击 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 嗅 探 攻击 仅仅 是 复制 经 过 网 络 传输 的 信息 
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B. 嗅 探 攻 击 不 影响 信息 源 端 至 目的 端的 传输 过 程 
C. 嗅 探 攻击 破坏 信息 的 保密 性 
D. 源 端 或 目的 端 可 以 检测 到 发 生 的 嗅 探 攻击 


答案 : D 
【分 析 】 嗅 探 攻击 对 信息 的 源 和 目的 端 是 透明 的 ,因此 , 源 和 目的 端 通常 是 检测 不 出 
已 经 发 生 的 嗅 探 攻击 的 。 
(9) 以 下 哪 一 项 和 信息 嗅 探 攻击 有 关 ? ( ) 
A. 操作 系统 漏洞 B. 应 用 程序 漏洞 
C. 信息 传输 路 径 D. 主机 系统 的 物理 安保 措施 
答案 : C 


【分 析 】 信息 嗅 探 攻击 与 信息 传输 路 径 有 关 。 
(10) 以 下 哪 一 项 和 信息 截获 攻击 有 关 ? ( ) 


A. 操作 系统 漏洞 B. 应 用 程序 漏洞 
C. 配置 主机 系统 网 络 信息 方式 D. 主机 系统 的 物理 安保 措施 
答案 : C 


【分 析 】 由 伪造 的 DHCP 服务 器 为 终端 配置 错误 的 默认 网 关 地 址 ,使 终端 发 送 给 其 
他 网 络 的 IP 分 组 经 过 黑客 终端 ,这 是 常见 的 截获 攻击 手段 。 
(11) 关于 MAC 表 溢出 攻击 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. MAC 表 能 够 存储 的 转发 项 是 有 限 的 
B. 交换 机 无 法 鉴别 MAC 帧 的 源 MAC 地 址 和 接收 端口 之 间 的 绑 定 关系 
C. 交换 机 广播 没有 转发 项 与 之 匹配 的 MAC 帧 
D. 不 允许 存在 多 项 MAC 地 址 不 同 但 转发 端口 相同 的 转发 项 
答案 : D 
【分 析 】 如 果 某 个 交换 机 端口 连接 的 不 是 终端 ,该 交换 机 的 转发 表 中 可 能 存在 多 项 
MAC 地 址 不 同 但 转发 端口 是 该 交换 机 端口 的 转发 项 。 黑 客 终端 也 是 利用 交换 机 允许 存 
在 多 项 MAC 地 址 不 同 但 转发 端口 相同 的 转发 项 实施 MAC 表 溢 出 攻击 的 。 
(12) 以 下 哪 一 项 和 阻止 信息 截获 攻击 无 关 ? ( ) 
A. 禁止 伪造 的 DHCP 服务 器 接 入 网 络 
B. 鉴别 DNS 资源 记录 
C. 鉴别 路 由 消息 
D. 用 交换 机 取代 集线器 
答案 : D 
【分 析 】 实施 信息 截获 攻击 或 是 给 出 错误 的 通 往 目 的 终端 的 传输 路 径 , 或 是 给 出 错 
误 的 目的 终端 的 IP 地 址 (或 物理 地 址 ) ,只 有 D 选项 与 阻止 这 两 件 事情 的 发 生 无 关 。 
(13) 以 下 哪 一 项 和 阻止 信息 嗅 探 攻击 无 关 ? ( ) 
A. 交换 机 端口 静态 配置 为 全 双 工 通信 方式 
B. 鉴别 DNS 资源 记录 
C. 交换 机 端口 之 间 禁 止 镜像 


D. 用 交换 机 取代 集线器 
答案 : B 
【分 析 】 信息 嗅 探 攻击 既 要 窃取 信息 ,又 要 不 影响 信息 的 正常 传输 过 程 , 只 有 了 B 选 
项 与 破坏 这 两 点 无 关 。 
(14) 关于 截获 攻击 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 截获 攻击 通常 需要 改变 源 和 目的 端 之 间 的 传输 路 径 
B. 源 和 目的 端 之 间 的 传输 路 径 可 以 通过 改变 交换 机 转发 表 或 路 由 器 路 由 表 
实现 
C. 截获 攻击 对 于 源 和 目的 端 是 透明 的 
D. 截获 攻击 不 适用 于 点 对 点 物理 链 路 两 端 之 间 的 传输 过 程 
答案 : C 
【分 析 】 截获 攻击 是 可 以 被 源 和 目的 端 检 测 到 的 。 
(15) 以 下 哪 一 项 攻击 无 法 窃取 传输 过 程 中 的 数据 ? ( 。 ) 


A. DHCP 欺骗 攻击 B，ARP 欺骗 攻击 
C. 转发 表 溢出 攻击 D. 源 IP 地 址 欺骗 攻击 
答案 : D 


【分 析 】 A 和 B 选 项 能 够 改变 数据 传输 路 径 ,C 选项 导致 以 广播 方式 传输 数据 。 
(16) 关于 MAC 地 址 欺骗 攻击 ,以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. 交换 机 无 法 鉴别 MAC 帧 的 源 MAC 地 址 和 接收 端口 之 间 的 绑 定 关系 
B. 交换 机 根据 最 新 的 MAC 帧 的 源 MAC 地 址 和 接收 端口 之 间 的 绑 定 关系 更 
新 转发 项 
C. 终端 可 以 伪造 自己 的 MAC 地 址 
D. 允许 存在 多 项 MAC 地 址 相同 但 转发 端口 不 同 的 转发 项 
答案 : D 
【分 析 】 在 MAC 表 中 ,对 于 任何 单 播 MAC 地 址 ,最 多 对 应 一 项 转发 项 。 
(17) 关于 DHCP 欺骗 攻击 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 终端 发 送 的 DHCP 发现 消息 到 达 所 有 DHCP 服务 器 
B. 终端 无 法 鉴别 DHCP 提供 消息 发 送 者 的 身份 
C. 终端 无 法 判别 DHCP 服务 器 中 网 络 信息 的 正确 性 
D. 以 太 网 无 法 阻止 伪造 的 DHCP 服务 器 提供 网 络 信息 配置 服务 
答案 : D 
【分 析 】 交换 机 可 以 阻止 伪造 的 DHCP 服务 器 提供 网 络 信息 配置 服务 。 
(18) 关于 ARP 欺骗 攻击 ,以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 广播 的 ARP 请 求 报 文中 给 出 黑客 终端 的 MAC 地 址 与 攻击 目标 的 卫 地 址 
之 间 的 绑 定 关系 
B. 广播 的 ARP 请 求 报 文 中 给 出 攻击 目标 的 MAC 地 址 与 黑客 终端 的 IP 地 址 
之 间 的 绑 定 关系 
C. 广播 的 ARP 请 求 报 文中 给 出 黑客 终端 的 MAC 地 址 与 黑客 终端 的 IP 地址 
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之 间 的 绑 定 关系 
D. 广播 的 ARP 请 求 报 文中 给 出 攻击 目标 的 MAC 地 址 与 攻击 目标 的 IP 地 址 
之 间 的 绑 定 关系 
答案 : A 
【分 析 】 通过 给 出 黑客 终端 的 MAC 地 址 与 攻击 目标 的 IP 地 址 之 间 的 绑 定 关系 ,使 
网 络 中 的 其 他 节点 将 原本 发 送 给 攻击 目标 的 IP 分 组 错误 地 发 送 给 黑客 终端 。 
(19) 关于 生成 树 欺骗 攻 击 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 黑客 终端 有 多 个 以 太 网 接口 
B. 黑客 终端 配置 高 优先 级 
C. 黑客 终端 发 送 接收 BPDU 
D. 黑客 终端 连接 交换 机 的 链 路 是 保证 交换 机 之 间 连通 性 所 必需 的 
答案 : D 
【分 析 】 删除 黑客 终端 连接 交换 机 的 链 路 ,不 会 影响 网 络 中 交换 机 之 间 的 连通 性 。 
(20) 关于 路 由 项 欺骗 攻击 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 接收 路 由 消息 的 路 由 器 不 对 路 由 消息 进行 源 端 鉴别 和 完整 性 检测 
B. 经 过 黑客 终端 的 传输 路 径 成 为 路 由 项 指明 的 传输 路 径 
C. 黑客 终端 发 送 伪造 的 路 由 消息 
D. 源 和 目的 端 之 间 所 有 可 能 的 传输 路 径 都 必须 经 过 黑客 终端 
答案 : D 
【分 析 】 伪造 的 路 由 消息 导致 错误 的 路 由 项 ,错误 的 路 由 项 指明 的 源 和 目的 端 之 间 
的 传输 路 径 才 经 过 黑客 终端 。 
(21) 关于 SYN 泛 洪 攻击 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. TCP 会 话 表 中 的 连接 项 是 有 限 的 
B. 未 完成 建立 过 程 的 TCP 连接 占用 连接 项 
C. 用 伪造 的 ,网络 中 本 不 存在 的 IP 地 址 发 起 TCP 连接 建立 过 程 
D. 未 完成 建立 过 程 的 TCP 连接 永久 占用 连接 项 
答案 : D 
【分 析 】 会 话 表 中 删除 规定 时 间 内 没有 完成 建立 过 程 的 TCP 连接 所 占用 的 连接 项 ， 
只 是 这 个 规定 时 间 较 长 ,足以 让 黑客 终端 耗 尽 会 话 表 中 的 连接 项 。 
(22) 关于 Smurf 攻击 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 封装 ICMP ECHO 请 求 报 文 的 IP 分 组 的 源 IP 地 址 是 攻击 目标 的 IP 地 址 
B. 封装 ICMP ECHO 请 求 报 文 的 IP 分 组 的 目的 IP 地 址 是 广播 地 址 
C. 接收 ICMP ECHO 请 求 报 文 的 终端 回 送 ICMP ECHO 响应 报 文 
D. 单个 ICMP ECHO 请 求 报 文 只 能 引发 单个 ICMP ECHO 响应 报 文 
答案 : D 
【分 析 】 Smurf 攻击 的 特点 是 ,黑客 终端 发 送 的 单个 ICMP ECHO 请 求 报 文 可 以 引 
发 多 个 发 送 给 攻击 目标 的 ICMP ECHO 响应 报 文 。 
(23) 关于 间接 DDoS 攻击 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
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A. 倪 偶 机 随机 生成 有 效 IP 地 址 集 
B. 正常 主机 系统 发 送 对 应 的 响应 报 文 
C. 正常 主机 系统 不 对 接收 到 的 请 求 报 文 进行 源 端 鉴别 
D. 倪 候 机 发 送 的 请 求 报 文 以 随机 生成 的 有 效 IP 地 址 为 源 IP 地 址 
答案 : D 
【分 析 】 便 偶 机 发 送 的 请 求 报 文 以 随机 生成 的 有 效 IP 地 址 为 目的 IP 地 址 ,以 攻击 
目标 的 IP 地 址 为 源 IP 地 址 。 
(24) 关于 源 IP 地 址 欺骗 攻击 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 一 般 情况 下 ,伪造 的 源 IP 地 址 不 会 对 该 IP 分 组 的 路 由 过 程 产 生 影响 
B. 黑客 终端 攻击 过 程 中 不 容易 接收 到 响应 报 文 
C. 有 些 信息 系 统 将 源 IP 地 址 作为 源 端 身份 标识 符 
D. 伪造 的 源 IP 地 址 不 能 是 网 络 中 存在 的 有 效 IP 地 址 
答案 : D 
【分 析 】 在 不 同 的 攻击 过 程 中 ,伪造 的 源 IP 地 址 是 不 同 的。 在 SYS 泛 洪 攻击 过 程 
中 ,伪造 的 IP 地 址 是 网 络 中 原本 不 存在 的 IP 地址。 在 Smurf 攻击 过 程 中 ,伪造 的 源 IP 
地 址 是 攻击 目标 的 IP 地 址 。 非 法 登录 时 ,伪造 的 源 IP 地 址 是 具有 登录 权限 的 IP 地址 。 
(25) 以 下 关于 网 络 钓鱼 的 说 法 中 ,不 正确 的 是 ( 和 
A. 网 络 钓鱼 融合 了 伪装 .欺骗 等 多 种 攻击 方式 
B. 网 络 钓鱼 与 Web 服务 没有 关系 
C. 典型 的 网 络 钓鱼 攻击 是 将 被 攻击 者 引诱 到 一 个 精心 设计 的 钓鱼 网 站 上 
D. 网 络 钓鱼 是 “社会 工程 攻击 ”的 一 种 形式 
答案 : B 
【分 析 】 钓鱼 网 站 通常 是 提供 Web 服务 的 服务 器 。 
(26) 关于 钓鱼 网 站 ,以 下 哪 一 项 描述 是 错误 的 ?> (  ) 
A. 黑客 构建 模仿 某 个 著名 网 站 的 假 网 站 
B. 假 网 站 的 IP 地 址 与 著名 网 站 的 IP 地 址 相同 
C. 正确 的 域名 得 到 错误 的 解析 结果 
D. 用 户 不 对 访问 的 网 站 的 身份 进行 鉴别 
答案 : B 
【分 析 】 假 网 站 的 IP 地 址 与 著名 网 站 的 IP 地 址 是 不 同 的 ,但 对 该 著名 网 站 域名 的 
解析 结果 是 假 网 站 的 IP 地 址 。 
(27) 以 下 哪 一 项 和 诱骗 用 户 登录 伪造 的 著名 网 站 无 关 ? (。 ) 
A. 算 改 DNS 服务 器 的 资源 记录 B. 伪造 DNS 服务 器 
C. 配置 主机 系统 网 络 信息 方式 D. 著名 网 站 的 物理 安保 措施 
答案 : D 
【分 析 】 诱骗 用 户 登 录 伪 造 的 著名 网 站 需要 将 伪造 的 著名 网 站 的 IP 地 址 作为 著名 
网 站 域名 的 解析 结果 返回 给 用 户 。D 选项 与 这 一 过 程 无 关 。 
(28) 关于 非法 接 入 无 线 局 域 网 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
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A. 黑客 可 以 通过 信 标 帧 获取 SSID 
B. 黑客 可 以 侦 听 到 正确 的 一 次 性 密 钥 与 初始 向 量 对 
C. 黑客 可 以 侦 听 到 共享 密 钥 
D. AP 通过 用 户 提供 的 一 次 性 密 钥 与 初始 向 量 对 判别 用 户 是 否 拥有 共享 密 钥 
答案 : C 
【分 析 】 黑客 终端 侦 听 不 到 共享 密 钥 ,也 无 法 根据 正确 的 一 次 性 密 钥 与 初始 向 量 对 
推导 出 共享 密 钥 。 
(29) 关于 非法 登录 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 黑客 可 以 通过 暴力 破解 获取 授权 用 户 的 身份 标识 信息 
B. 黑客 可 以 通过 欺骗 手段 获取 授权 用 户 的 身份 标识 信息 
C. 黑客 可 以 根据 授权 用 户 的 公开 信息 猜测 出 授权 用 户 的 身份 标识 信息 
D. 黑客 可 以 直接 读 取 存储 在 介质 中 的 用 户 身份 标识 信息 
答案 : D 
【分 析 】 在 存储 用 户 身份 标识 信息 时 ,一 般 只 存储 口令 的 单 向 函数 运算 结果 ,因此 ， 
无 法 直接 从 存储 用 户 身份 标识 信息 的 介质 中 直接 读 取 口令 ,通常 也 无 法 通过 口令 的 单 向 


函数 运算 结果 还 原 出 口令 。 
(30) 利用 ICMP 协议 进行 扫描 时 ,以 下 哪 一 项 是 可 以 扫描 的 目标 主机 信息 ? ( 。 ) 
A. IP 地 址 B. 操作 系统 版 本 
C. 漏洞 D. 弱 口 令 
答案 : A 


【分 析 】 ICMP 可 以 确定 配置 指定 IP 地 址 的 主机 是 否 在 线 。 
(31) 关于 黑客 人 侵 , 以 下 哪 一 项 描述 是 错误 的 ?> ( ) 
A. 存在 黑客 终端 与 攻击 目标 之 间 的 传输 路 径 
B. 攻击 目标 存在 漏洞 
C. 黑客 通过 扫描 发 现 攻击 目标 存在 的 漏洞 
D. 黑客 必须 已 经 获取 攻击 目标 的 管理 员 账 户 信息 
答案 : D 
【分 析 】 一 般 的 黑客 人 侵 有 着 以 下 两 个 要 素 : 一 是 攻击 目标 是 在 线 的 , 且 存在 漏洞 
二 是 黑客 能 够 利用 攻击 目标 存在 的 漏洞 完成 人 侵 过 程 。 如 果 黑 客 已 经 获取 攻击 目标 的 管 
理 员 账 户 信息 , 则 攻击 目标 是 否 存 在 漏洞 都 不 影响 黑客 登录 。 
(32) 以 下 哪 一 项 和 黑客 远程 人 侵 主 机 系统 无 关 ? (。 ) 


A. 操作 系统 漏洞 B. 应 用 程序 漏洞 
C. 黑客 和 主机 系统 之 间 信息 传输 路 径 D. 主机 系统 的 物理 安保 措施 
答案 : D 


【分 析 】 主机 系统 的 物理 安保 措施 无 法 防御 黑客 远程 人 侵 。 

(33) 以 下 哪 一 项 和 病毒 植 入 主机 系统 无 关 ? ( ) 
A. 操作 系统 漏洞 B. 配置 主机 系统 网 络 信息 方式 
C. 黑客 和 主机 系统 之 间 信息 传输 路 径 D. 主机 系统 的 物理 安保 措施 
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【分 析 】 A 和 C 选项 是 导致 黑客 远程 入 侵 并 上 传 病毒 的 原因 ,D 选项 用 于 防止 通过 
移动 媒体 直接 将 病毒 植 人 主机 。 
(34) 以 下 哪 一 项 攻击 和 操作 系统 漏洞 无 关 ? ( ) 
A. 非法 登录 主机 系统 
B. 向 主机 系统 植 人 病毒 
C. 缓冲 区 溢出 
D. 消耗 掉 主机 系统 连接 网 络 的 链 路 的 带宽 
答案 : D 
【分 析 】 以 消耗 通信 系统 资源 为 目的 的 拒绝 服务 攻击 与 主机 系统 漏洞 无 关 。 
(35) 以 下 哪 一 项 表示 黑客 编写 的 旨 在 破坏 主机 系统 的 代码 集合 ? ( ) 
A. 恶意 代码 B. 病毒 C. 木马 D. 蠕虫 
答案 : A 
【分 析 】 恶意 代码 是 所 有 用 于 破坏 主机 系统 的 代码 的 统称 。 
(36) 以 下 哪 一 项 表示 黑客 编写 的 旨 在 非法 访问 主机 系统 中 信息 资源 的 代码 ?( ) 
A. 恶意 代码 B. 病毒 C.: 未 马 D. 蠕虫 
答案 : C 
【分 析 】 木马 的 主要 功能 就 是 非法 访问 其 驻 留 的 主机 系统 的 信息 资源 。 
(37) 以 下 哪 一 项 表示 黑客 编写 的 ,嵌入 在 正常 程序 中 .具有 自我 复制 能 力 的 一 段 代 
码 ?(  ) 
A. 恶意 代码 B. 病毒 C. 木马 D. 蠕虫 
答案 : B 
【分 析 】 狭义 病毒 的 特征 有 两 个 : 一 是 需要 宿主 程序 ;二 是 具有 自我 复制 能 力 。 
(38) 以 下 哪 一 项 表示 黑客 编写 的 .具有 自动 传播 和 自动 激活 特性 的 完整 程序 ? ( 。 ”) 
A. 恶意 代码 B. 病毒 C. 木马 D. 蠕虫 
答案 : D 
【分 析 】 蠕虫 的 特征 有 两 个 : 一 是 完整 程序 ;二 是 能 够 在 不 需要 人 力 介 入 的 情况 下 ， 
自动 传播 和 自动 激活 。 
(39) 以 下 哪 一 项 是 蠕虫 能 够 自动 传播 到 某 个 主机 系统 并 自动 激活 的 原因 ? ( ) 
A. 主机 系统 存在 漏洞 
B. 主机 系统 下 载 程序 
C. 主机 系统 收发 邮件 
D. 主机 系统 之 间 用 移动 媒介 复制 文件 
答案 : A 
【分 析 】 蠕虫 通过 利用 主机 系统 漏洞 实现 自动 传播 和 自动 激活 。 
(40) 以 下 哪 一 项 操作 与 传播 病毒 无 关 ? (。 ) 
A. 运行 补丁 软件 
B. 主机 系统 下 载 程序 
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C. 主机 系统 收发 邮件 

D. 主机 系统 之 间 用 移动 媒介 复制 文件 
答案 : A 
【分 析 】 运行 补丁 软件 可 以 阻止 病毒 传播 ,其 他 三 项 操作 都 可 以 传播 病毒 。 
(41) 以 下 哪 一 项 操作 不 属于 病毒 感染 ? (。 ) 





A. 病毒 将 自身 插入 引导 程序 B. 病毒 将 自身 插入 可 执行 文件 
C. 宏 病毒 将 自身 插入 Office 文档 D. 建立 具有 管理 员 权限 的 账户 
答案 : D 


【分 析 】 D 选项 不 属于 感染 病毒 ,而 是 病毒 发 作 时 实施 的 破坏 操作 。 
(42) 以 下 哪 一 项 不 是 阻止 病毒 传播 的 措施 ? ( ) 


A. 运行 补丁 软件 B. 安装 查 杀 病毒 软件 
C. 禁止 读 / 写 移动 存储 媒介 D. 对 主机 系统 中 重要 文件 加 密 
答案 : D 
【分 析 】 D 选项 与 阻止 病毒 传播 无 益 , 但 可 以 减轻 病毒 改作 时 对 主机 系统 中 信息 资 
源 保密 性 的 破坏 程度 。 
(43) 以 下 哪 一 项 不 是 阻止 病毒 经 过 网 络 传播 的 措施 ? ( ) 
A. 运行 补丁 软件 B. 安装 查 杀 病 毒 软件 
C. 禁止 读 / 写 移动 存储 媒介 D. 安装 主机 入 侵 检 测 系统 
答案 : C 


【分 析 】 经 过 网 络 传播 病毒 时 不 需要 读 / 写 移动 存储 媒介 。 
(44) 以 下 哪 一 项 不 是 阻止 病毒 实施 破坏 操作 的 措施 ? ( ) 
A. 安装 主机 入 侵 检测 系统 
B. 监控 内 部 网 络 终端 发 起 建立 的 TCP 连接 
C. 禁止 读 / 写 移动 存储 媒介 
D. 对 主机 系统 中 重要 文件 加 密 
答案 : C 
【分 析 】 相对 其 他 三 个 选项 ,C 选项 阻止 病毒 实施 破坏 操作 的 作用 并 不 明显 。 
(45) 以 下 哪 一 项 不 是 恶意 代码 的 危害 ? ( ) 


A. 删除 文件 B. 向 其 他 主机 系统 传播 病毒 

C. 非法 访问 主机 系统 资源 D. 断 开 主机 系统 和 网 络 之 间 的 连接 
答案 : D 
【分 析 】 病毒 造成 的 危害 大 多 需要 通过 网 络 才能 完成 , 断 开 网 络 应 该 是 减少 危害 扩 


散 的 措施 。 
(46) 以 下 哪 一 项 不 是 网 络 成 为 病毒 快速 传播 通道 的 原因 ? ( ) 
A. 利用 主机 系统 漏洞 自动 传播 病毒 
B. 通过 邮件 传播 病毒 
C. 通过 Web 页 面 传播 病毒 
D. 通过 移动 存储 媒介 在 主机 系统 间 相互 复制 文件 传播 病毒 
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答案 : D 
【分 析 】 该 病毒 传播 方式 与 网 络 无 关 。 
(47) 以 下 哪 一 项 和 病毒 传播 无 关 ? ( ) 
A. 主机 系统 之 间 复 制 文件 B. 浏览 Web 主页 
C. 阅读 邮件 D. 变换 终端 接 入 Internet 的 方式 
答案 : D 
【分 析 】 终端 用 何 种 方式 接 入 Internet 与 病毒 传播 没有 太 大 关系 。 
(48) 关于 狭义 病毒 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 巾 在 宿主 程序 中 的 一 段 代 码 B. 具有 破坏 功能 


C. 具有 自我 复制 能 力 D. 能 够 自动 激活 
答案 : D 
【分 析 】 感染 病毒 的 宿主 程序 一 般 不 能 自动 激活 ,需要 人 工 启 动 ,或 者 由 操作 系统 
启动 。 
(49) 关于 蠕虫 病毒 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 可 以 是 一 个 独立 完整 程序 B. 能 够 自动 传播 
C. 能 够 自动 激活 D. 只 能 通过 利用 漏洞 实施 传播 
答案 : D 


【分 析 】 蠕虫 病毒 的 传播 方式 是 多 种 多 样 的 ,发 现 攻 击 目 标 漏洞 ,并 利用 漏洞 实现 自 
动 传播 和 激活 只 是 蠕虫 病毒 的 传播 方式 之 一 。 
(50) 关于 病毒 造成 的 危害 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 病毒 可 以 破坏 主机 信息 的 保密 性 
B. 病毒 可 以 破坏 主机 信息 的 完整 性 
C. 病毒 可 以 破坏 主机 信息 的 可 用 性 
D. 病毒 可 以 破坏 主机 信息 的 不 可 抵赖 性 


答案 : D 
【分 析 】 目前 通常 通过 数字 签名 保障 信息 的 不 可 抵赖 性 ,伪造 对 特定 信息 的 数字 签 
名 不 是 病毒 可 以 做 到 的 。 
(51) 以 下 哪 一 项 不 是 黑客 成 功 实施 攻击 的 原因 ? (  ) 
A. 主机 系统 漏洞 B. 通信 协议 的 安全 缺陷 
C. 用 户 警 惕 性 不 够 D. 网 络 分 层 结构 
答案 : D 
【分 析 】 分 层 是 复杂 系统 的 有 效 设计 方法 ,能 够 提高 系统 的 可 靠 性 和 安全 性 。 


(52) 以 下 哪 一 项 不 是 黑客 发 现 主机 系统 漏洞 的 步骤 ? ( ) 
A. 通过 主机 扫描 发 现在 线 主机 
B. 通过 端口 扫描 发 现 开启 的 服务 
C. 通过 主动 探测 获得 操作 系统 类 型 和 版 本 号 
D. 骗取 用 户口 令 
答案 : D 
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【分 析 】 D 选项 和 发 现 主机 系统 漏洞 的 过 程 无 关 。 
(53) 以 下 哪 一 项 是 最 主要 的 主机 系统 漏洞 ? ( ) 
A. 缓冲 区 溢出 B. Unicode 漏 洞 C. Ping of Death DD. Land 
答案 : A 
【分 析 】 黑客 利用 缓冲 区 溢出 漏洞 ,能 够 在 管理 员 权 限 下 运行 自 编程 序 ,这 一 点 对 主 
机 系统 的 危害 极 大 。 
(54) 以 下 哪 一 项 是 解决 主机 系统 漏洞 的 较 好 办 法 ?( ) 
A. 消灭 主机 系统 漏洞 
B. 不 让 黑客 知道 已 经 发 现 的 主机 系统 漏洞 
C. 网 络 隔绝 黑客 扫描 主机 系统 的 途径 
D. 将 存在 漏洞 的 主机 系统 和 网 络 断 开 
答案 : C 
【分 析 】 其 他 三 个 选项 中 ,A 和 B 选项 做 不 到 ,D 选项 是 策 办 法 。 
(55) 以 下 哪 一 项 不 是 网 络 中 用 于 隔绝 黑客 扫描 主机 系统 途径 的 机 制 ?( ) 


A. 接 入 控制 B. 网 络 间 信息 交换 控制 
C. 入 侵 检 测 系 统 的 异常 检测 D. 主机 系统 用 户 登录 控制 
答案 : D 


【分 析 】 登录 的 前 提 是 已 经 建立 黑客 和 主机 系统 之 间 的 传输 通路 。 
(56) 以 下 哪 一 项 不 是 对 主机 系统 实施 的 拒绝 服务 攻击 ? ( “) 


A. Ping of Death B. SYN 泛 洪 
C. Smurf D. 穷 举 法 猜测 用 户 登录 口令 
答案 : D 
【分 析 】 拒绝 服务 攻击 是 使 主机 系统 丧失 服务 能 力 ,D 选项 不 会 使 主机 系统 丧失 服 
务 能 力 。 
(57) 以 下 哪 一 项 是 缓冲 区 溢出 的 最 大 危害 ? ( ) 
A. 使 系统 崩溃 B. 使 系统 运行 出 错 
C. 管理 员 权限 下 运行 黑客 程序 D. 侵占 其 他 用 户 内 存 
答案 : C 


【分 析 】 如 果 在 管理 员 权限 下 运行 黑客 程序 ,黑客 可 以 任意 处 置 系统 资源 。 
(58) 利用 以 下 哪 一 项 缺陷 可 以 实现 SYN 泛 洪 攻击 ? (。 ) 


A. 操作 系统 漏洞 B. 通信 协议 缺陷 
C. 缓冲 区 溢出 D. 用 户 警惕 性 不 够 
答案 : B 


【分 析 】 TCP 连接 建立 过 程 存在 缺陷 。 

(59) 以 下 哪 一 项 是 蠕虫 病毒 传播 的 主因 ? ( ) 
A. 缓冲 区 溢出 漏洞 
B. 从 服务 器 下 载 文件 
C. 收发 电子 邮件 


D. 通过 移动 媒介 在 主机 系统 间 复 制 文件 
答案 : A 
【分 析 】 黑客 利用 缓冲 区 溢出 漏洞 实现 在 管理 员 权限 下 运行 自 编程 序 是 蠕虫 能 够 自 
动 传播 并 激活 的 基础 。 
(60) 以 下 哪 一 项 不 是 以 破坏 信息 保密 性 为 目的 的 攻击 行为 ?( ) 
A. 信息 嗅 探 B. 信息 截获 C. 安装 后 门 程序 D, DDoS 
答案 : D 
【分 析 】 拒绝 服务 攻击 一 般 以 破坏 可 用 性 为 目的 。 
(61) 以 下 哪 一 项 不 是 以 破坏 信息 完整 性 为 目的 的 攻击 行为 ?( ) 


A. 信息 嗅 探 B. 信息 截获 
C. 路 由 项 欺骗 攻击 D. ARP 欺骗 攻击 
答案 : A 


【分 析 】 破坏 信息 完整 性 既 需 要 截获 信息 ,也 需要 复 改 信息 。 
(62) 以 下 哪 一 项 不 是 以 破坏 信息 可 用 性 为 目的 的 攻击 行为 ?2 (。 ) 


A. Ping of Death B. SYN 泛 洪 
C. 安装 后 门 程序 D. DDoS 
答案 ; C 


【分 析 】 后 门 程序 为 了 隐蔽 ,一 般 不 会 影响 主机 系统 的 正常 服务 功能 。 
(63) 以 下 哪 一 项 攻击 行为 与 主机 系统 漏洞 无 关 ? ( ) 


A. Ping of Death B. Land 
C. 安装 后 门 程序 D. Smurf 
答案 : D 


【分 析 】 这 种 拒绝 服务 攻击 与 主机 系统 漏洞 无 关 。 
(64) 安装 主机 入 侵 检 测 系 统 ,对 以 下 哪 一 项 攻击 行为 作用 不 大 ? (。 ) 


A. 窃取 信息 资源 B. 自 改 注册 表 
C. 安装 后 门 程序 D. Smurf 
答案 : D 


【分 析 】 加 强 主机 系统 自身 功能 对 抵御 这 种 拒绝 服务 攻击 作用 不 大 。 
(65) 安装 网 络 入 侵 检测 系统 ,对 以 下 哪 一 项 攻击 行为 作用 不 大 ? (。 ) 


A. 信息 嗅 探 B. 利用 缓冲 区 溢出 运行 黑客 程序 
C. 安装 后 门 程序 D. Smurf 
答案 : A 


【分 析 】 网 络 入侵 防御 系统 需要 发 现 异常 信息 流 , 然 后 才能 对 异常 信息 流 实施 干预 ， 
信息 嗅 探 攻击 不 会 导致 信息 流 异常 。 
(66) 防火 墙 实施 的 网 络 间 信 息 交 换 控制 ,对 以 下 哪 一 项 攻击 行为 作用 不 大 ? (。 ) 
A. ARP 欺骗 B. 木马 外 泄 信 息 资 源 
C. Ping of Death D. SYN 泛 洪 
答案 : A 
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【分 析 】 ARP 欺骗 攻击 在 网 络 内 部 进行 ,无 须 经 过 防火 墙 。 
(67) 交换 机 提供 的 安全 技术 ,对 以 下 哪 一 项 攻击 行为 作用 不 大 ? (。 ) 


A. ARP 欺骗 B. 源 IP 地 址 欺骗 
C. 伪造 DHCP 服务 器 D. Ping of Death 
答案 : D 


【分 析 】 需要 拼装 完 分 片 后 产生 的 所 有 数据 片 才能 发 现 这 项 攻击 ,交换 机 一 般 不 具 
有 这 项 功能 。 
(68) 关于 黑客 人 侵 和 病毒 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 黑客 和 病毒 结合 可 以 使 病毒 快速 草 延 
B. 病毒 削弱 主机 系统 安全 ,方便 黑客 人 侵 
C. 黑客 成 功 入 侵 后 ,上 传 病毒 
D. 黑客 和 病毒 必须 相互 依赖 , 缺 一 不 可 
答案 : D 
【分 析 】 黑客 和 病毒 结合 ,对 网 络 安全 构成 严重 威胁 ,但 黑客 人 侵 和 病毒 传播 可 以 独 
立 进行 ,例如 黑客 可 以 入 侵 某 个 存在 漏洞 但 没有 感染 病毒 的 主机 系统 。 
(69) 关于 计算 机 病毒 ,以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 计算 机 病毒 既 不 具有 破坏 性 ,也 不 具有 传染 性 
B. 计算 机 病毒 只 具有 破坏 性 ,不 具有 传染 性 
C. 计算 机 病毒 既 具 有 破坏 性 ,也 具有 传染 性 
D. 计算 机 病毒 只 具有 传染 性 ,不 具有 破坏 性 
答案 : C 
【分 析 】 破坏 性 和 传染 性 是 计算 机 病毒 具有 的 两 大 特征 。 
(70) 关于 病毒 发 展 趋势 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 病毒 技术 与 黑客 技术 日 益 融 合 在 一 起 
B. 计算 机 病毒 制造 者 的 主要 目的 只 是 炫 粮 自 己 高 超 的 技术 
C. 计算 机 病毒 的 数量 呈 指 数 性 成 长 ,传统 的 基于 特征 检测 的 防毒 软件 渐渐 显 
得 力不从心 
D. 由 于 在 互连网 上 可 以 下 载 病毒 编写 工具 ,从 而 使 计算 机 病毒 的 编写 变 得 越 
来 越 容 易 
答案 ; B 
【分 析 】 目前 计算 机 病毒 制造 者 的 主要 目的 是 获 利 。 
(71) 以 下 哪 一 项 关于 安 病 毒 的 描述 是 正确 的 ? ( 。 ) 
A. 宏 病毒 主要 感染 可 执行 文件 
B. 宏 病 毒 仅 感染 办 公 自 动 化 程序 编制 的 文档 
C. 宏 病毒 主要 感染 软盘 、 硬 盘 的 引导 扇 区 或 主 引 导 扇 区 
D. CIH 病毒 属于 宏 病毒 
答案 : B 
【分 析 】 安 病 毒 是 利用 Office 文档 中 的 宏 功 能 实现 的 ,只 能 感染 Office 文档 。 
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(72) 下 列 功 能 中 , 哪 一 项 功能 不 是 综合 漏洞 扫描 包含 的 (。 ) 


A. IP 地 址 扫描 B. 端口 号 扫描 
C. 恶意 程序 扫描 D. 漏洞 扫描 
答案 : C 


【分 析 】 IP 地 址 扫描 用 于 发 现在 线 主 机 ,端口 号 扫描 用 于 发 现 主 机 打开 的 端口 , 漏 
洞 扫描 用 于 发 现 主机 应 用 程序 和 操作 系统 存在 的 漏洞 ,但 一 般 无 法 对 主机 进行 恶意 程序 
扫描 。 
(73) 关于 SYN 泛 洪 攻击 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. SYN 泛 洪 攻击 利用 TCP 固有 安全 缺陷 
B. SYN 泛 洪 攻击 伪造 原本 不 存在 的 终端 发 起 TCP 连接 建立 过 程 
C. SYN 泛 洪 攻击 用 于 耗 尽 攻击 目标 的 TCP 会 话 表 中 的 连接 项 
D. SYN 泛 洪 攻击 破坏 攻击 目标 的 保密 性 
答案 : D 
【分 析 】 SYN 泛 洪 攻击 破坏 攻击 目标 的 可 用 性 ,使 其 无 法 响应 正常 用 户 的 建立 TCP 
(74) 以 下 哪 一 项 不 是 Smurf 攻击 的 技术 机 理 ? (  ) 
A. 将 攻击 目标 的 IP 地 址 作为 ICMP ECHO 请 求 报 文 的 源 IP 地 址 
B. 将 ICMP ECHO 请 求 报 文 广播 给 某 个 网 络 中 的 所 有 终端 
C. 所 有 接收 到 ECHO 请 求 报 文 的 终端 向 报 文 的 源 终端 回 送 ECHO 响应 报 文 
D. 广播 ICMP ECHO 请 求 报 文 浪费 网 络 带宽 和 终端 处 理 时 间 
答案 : D 
【分 析 】 Smurf 攻击 的 重点 不 是 通过 广播 ICMP ECHO 请 求 报 文 浪费 网 络 带 宽 和 
终端 处 理 时 间 ,而 是 通过 向 攻击 目标 回 送 大 量 ICMP ECHO 响应 报 文 使 攻击 目标 丧失 与 
其 他 终端 正常 通信 的 能 力 。 
(75) 以 下 哪 一 项 不 是 DHCP 欺骗 攻击 的 技术 机 理 ? (  ) 
A. 网 络 中 可 以 存在 多 台 DHCP 服务 器 
B. 终端 随机 选择 为 其 配置 网 络 信息 的 DHCP 服务 器 
C. 伪造 的 网 络 配置 信息 会 造成 终端 严重 的 安全 后 果 
D. 多 台 DHCP 服务 器 可 能 造成 终端 IP 地 址 重复 
答案 D 
【分 析 】 终端 IP 地 址 重复 是 多 台 DHCP 服务 器 共存 需要 解决 的 问题 ,不 是 DHCP 
欺骗 攻击 的 技术 机 理 。 
(76) 以 下 哪 一 项 不 是 ARP 欺骗 攻击 的 技术 机 理 ? ( ) 
A. 终端 接收 到 ARP 报 文 ,记录 ARP 报 文中 的 全 地 址 与 MAC 地 址 对 
B. 如 果 ARP 缓冲 区 中 已 经 存在 IP 地 址 与 MAC 地 址 对 ,以 该 MAC 地 址 作为 
该 耳 地址 的 解析 结果 
C. 可 以 在 ARP 报 文中 伪造 IP 地 址 与 MAC 地 址 对 
D. ARP 缓冲 区 中 的 全 地 址 与 MAC 地 址 对 存在 寿命 
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答案 : D 
【分 析 】 ARP 缓冲 区 中 的 IP 地 址 与 MAC 地 址 对 存在 寿命 不 是 实施 ARP 欺骗 攻 
击 所 需要 的 。 
(77) 以 下 哪 一 项 不 是 路 由 项 欺骗 攻击 的 技术 机 理 ? (  ) 
A. 路 由 器 选择 最 短路 径 
B. 黑客 终端 伪造 与 攻击 网 络 直接 相连 的 路 由 消息 
C. 路 由 器 将 通 往 攻击 网 络 的 传输 路 径 的 下 一 跳 改 为 黑客 终端 
D. 黑客 终端 接收 其 他 路 由 器 发 送 的 路 由 消息 
答案 : D 
【分 析 】 黑客 终端 是 否 接收 其 他 路 由 器 发 送 的 路 由 消息 与 实施 路 由 项 欺骗 攻击 
无 关 。 
(78) 以 下 哪 一 项 不 是 间接 DDoS 攻击 的 技术 机 理 ? (。 ) 
A. 黑客 终端 成 功 将 木马 程序 植 和 人 多 人 台 佛 偶 机 中 
B. 黑客 终端 向 仇 偏 机 发 送 针 对 特定 攻击 目标 的 攻击 命令 
C. 每 一 台 倪 偶 机 随机 选择 正常 主机 系统 ,向 正常 主机 系统 发 送 ICMP ECHO 
请 求 报 文 
D. 倪 偶 机 发 送 的 ICMP ECHO 请 求 报 文 以 伯 仿 机 的 IP 地 址 为 源 IP 地 址 
答案 : D 
【分 析 】 倪 偶 机 发 送 的 ICMP ECHO 请 求 报 文 以 攻击 目标 的 IP 地址 为 源 IP 地 址 。 
(79) 关于 拒绝 服务 攻击 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 阻塞 主机 连接 网 络 的 链 路 
B. 消耗 掉 主 机 用 于 提供 服务 的 资源 
C. 通过 植 入 病毒 ,让 主机 无 法 正常 运行 
D. 通过 植 入 病毒 ,复制 主机 中 的 重要 信息 
答案 : D 
【分 析 】 拒绝 服务 攻击 的 目的 是 破坏 主机 或 网 络 的 可 用 性 ,复制 重要 信息 的 目的 是 
破坏 主机 中 信息 的 保密 性 。 


2.3 名 词 解释 


(1) 网 络 攻击 

指 利用 网 络 存在 的 漏洞 和 安全 缺陷 对 网 络 中 的 硬件 .软件 及 信息 进行 的 攻击 ,其 目的 
是 破坏 网 络 中 信息 的 保密 性 ,完整 性 、 可 用 性 ,可 控制 性 和 不 可 抵赖 性 ,前 弱 甚 至 瘫痪 网 络 
的 服务 功能 。 


(2) 被 动 攻 击 
不 会 对 经 过 网 络 传输 的 信息 .网 络 状态 和 网 络 信息 流 模式 产生 影响 的 攻击 行为 。 
(3) 主动 攻击 


会 改变 网 络 中 的 信息 ,状态 和 信息 流 模式 的 攻击 行为 。 
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(4) MAC 表 溢 出 攻击 


黑客 终端 通过 发 送 大 量 源 MAC 地 址 不 同 的 MAC 帧 ,使 MAC 表 溢出 ,导致 交换 机 
广播 所 有 以 正常 单 播 MAC 地 址 为 目的 MAC 地址 的 MAC 帧 的 攻击 行为 。 

(5) MAC 地 址 欺骗 攻击 

黑客 终端 通过 发 送 源 MAC 地 址 为 攻击 目标 的 MAC 地 址 的 MAC 帧 ,使 交换 机 错误 
地 将 通 往 黑 客 终端 的 交换 路 径 作为 通 往 攻击 目标 的 交换 路 径 的 攻击 行为 。 

(6) DHCP 欺骗 攻击 

通过 在 网 络 中 接 入 伪造 的 DHCP 服务 器 ,使 终端 从 伪造 的 DHCP 服务 器 获得 错误 
的 网 络 信息 的 攻击 行为 。 

(7) ARP 欺骗 攻击 

通过 在 广播 的 ARP 请 求 报 文中 给 出 黑客 终端 的 MAC 地 址 与 攻击 目标 的 IP 地 址 之 
间 的 绑 定 关系 ,导致 网 络 中 的 其 他 节点 将 原本 发 送 给 攻击 目标 的 IP 分 组 错误 地 发 送 给 黑 
客 终端 的 攻击 行为 。 

(8) 生成 树 欺 骗 攻 击 

黑客 终端 通过 配置 高 优先 级 ,将 自己 作为 生成 树 的 根 交 换 机 ,从 而 使 其 他 终端 之 间 传 
输 的 MAC 帧 经 过 黑客 终端 的 攻击 行为 。 

(9) 路 由 项 欺骗 攻击 

黑客 终端 通过 发 送 伪 造 的 路 由 消息 ,使 路 由 器 中 的 路 由 项 发 生 错误 ,导致 黑客 终端 成 
为 源 和 目的 端 之 间 传输 路 径 必 须 经 过 的 节点 , 源 和 目的 端 之 间 传输 的 IP 分 组 全 部 被 黑客 
终端 截获 的 攻击 行为 。 

(10) SYN 泛 洪 攻击 

通过 快速 消耗 掉 Web 服务 器 TCP 会 话 表 中 的 连接 项 ,使 正常 的 TCP 连接 建立 过 程 
因为 会 话 表 中 连接 项 耗 尽 而 无 法 正常 进行 的 攻击 行为 。 

(11) Smurf 攻击 

黑客 终端 广播 一 个 以 攻击 目标 的 IP 地 址 为 源 IP 地 址 的 ICMP ECHO 请 求 报 文 , 导 
致 网 络 中 的 所 有 终端 向 攻击 目标 发 送 ICMP ECHO 响应 报 文 , 从 而 阻塞 攻击 目标 连接 网 
络 的 链 路 的 攻击 行为 。 

(12) 直接 DDoS 

由 已 经 攻陷 的 多 个 主机 系统 (俗称 为 俐 偶 机 ) 直 接 向 攻击 目标 发 送 大 量 无 用 的 IP 分 
组 ,使 攻击 目标 丧失 服务 能 力 的 攻击 行为 。 

(13) 间接 DDoS 

由 已 经 攻陷 的 多 个 主机 系统 (俗称 为 便 儒 机 ) 向 其 他 正常 主机 系统 发 送 大 量 无 用 的 
IP 分 组 ,这 些 IP 分 组 经 过 这 些 正常 主机 系统 反射 后 ,被 送 往 攻击 目标 ,并 因此 使 攻击 目 
标 丧 失 服务 能 力 的 攻击 行为 。 

(14) 源 IP 地 址 欺骗 攻击 

一 种 在 实施 过 程 中 黑客 终端 发 送 的 IP 分 组 ,不 是 以 黑客 终端 真实 的 IP 地 址 作为 源 
卫 地 址 ,而 是 用 其 他 终端 的 IP 地 址 ,或 者 伪造 一 个 本 不 存在 的 IP 地 址 作为 IP 分 组 的 源 
IP 地 址 的 攻击 行为 。 
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(15) 钓鱼 网 站 

黑客 构建 模仿 某 个 著名 网 站 的 假 网 站 , 且 能 够 引诱 用 户 将 访问 该 假 网 站 的 过 程 作为 
访问 该 著名 网 站 的 过 程 的 攻击 行为 。 

(16) 非法 登录 

黑客 非法 获取 某 个 授权 用 户 的 身份 标识 信息 ,如 用 户 名 和 口令 , 冒 用 该 授权 用 户 登 录 
网 络 设备 或 服务 器 的 攻击 行为 。 

(17) 黑客 人 侵 

黑客 利用 主机 系统 存在 的 漏洞 ,远程 人 侵 主机 系统 的 过 程 。 

(18) 狭义 病毒 

一 段 柑 在 宿主 程序 中 ,具有 破坏 功能 和 自我 复制 能 力 的 代码 。 

(19) 恶意 代码 

黑客 编写 的 旨 在 破坏 主机 系统 的 代码 集合 。 

(20) 蠕虫 

一 种 具备 完整 程序 特性 的 恶意 代码 ,能 够 自动 传播 到 其 他 系统 ,并 具有 自动 激发 功 
能 ,因而 能 够 快速 传播 。 

(21) 木马 

一 种 恶意 代码 ,其 主要 功能 在 于 削弱 主机 系统 的 安全 性 ,并 资 取 主机 系统 的 信息 
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【例题 3.1】 简 述 安全 加 密 算 法 的 特点 。 

【解析 】 一 是 加 密 运算 过 程 必须 足够 复杂 ,除了 通过 穷 举 法 破译 密 文 外 ,没有 其 他 更 
有 效 的 破译 密 文 的 方法 ;二 是 密 钥 长 度 必须 足够 长 ,以 此 保证 ,使 用 普通 计算 机 破译 密 文 
时 ,用 穷 举 法 破译 密 文 所 需 的 时 间 超 出 密 文 的 有 效 期 。 使 用 高 性 能 计算 机 破译 密 文 时 , 破 
译 密 文 付出 的 代价 超出 密 文 价值 ;三 是 经 过 广泛 试验 ,可 以 证 明 无 法 通过 网 格 计算 以 较 小 
成 本 用 穷 举 法 破译 密 文 。 

【例题 3.2】 列 出 Feistel 分 组 密码 结构 的 关键 参数 ,并 简 述 每 一 个 参数 对 加 密 过 程 
的 影响 。 

【解析 】 一 是 数据 段 长 度 。 数 据 段 长 度 越 长 ,安全 性 越 高 ,但 增加 加 密 /解密 过 程 的 
计算 复杂 性 ;二 是 密 钥 长 度 。 密 钥 长 度 越 长 ,安全 性 越 高 ,但 增加 加 密 /解密 过 程 的 计算 复 
杂 性 ;三 是 迭代 次 数 。 迭 代 次 数 越 多 ,安全 性 越 高 ,但 增加 加 密 /解密 过 程 的 计算 复杂 性 ; 
四 是 子 密 钥 生成 算法 。 子 密 钥 生成 算法 越 复 杂 , 安 全 性 越 高 ,但 增加 加 密 /解密 过 程 的 计 
算 复杂 性 ;五 是 迭代 函数 。 和 迭代 函数 越 复 杂 , 安 全 性 越 高 ,但 增加 加 密 /解密 过 程 的 计算 复 

【例题 3.3】 简 述 Feistel 分 组 密码 结构 实现 扩散 和 混淆 的 原理 。 

【解析 】 扩散 是 尽 可 能 使 明文 和 密 钥 的 每 一 位 能 够 影响 密 文 的 所 有 位 。 混 淆 是 尽 可 
能 使 明文 和 密 钥 与 密 文 之 间 的 关系 复杂 化 , 即 明文 与 密 文 之 间 . 密 钥 和 密 文 之 间 的 统计 相 
关 性 极 小 化 。 混 淆 主要 通过 置换 过 程 实现 ,通过 置换 将 明文 随机 分 布 到 密 文中 。 扩 散 主 
要 通过 以 下 过 程 实现 : 一 是 通过 子 密 钥 生成 函数 生成 每 一 次 迭代 运算 使 用 的 子 密 钥 ;二 
是 用 子 密 钥 异 或 参与 迭代 运算 的 信息 ,使 每 一 位 密 钥 尽 可 能 地 影响 到 密 文 的 所 有 位 。 

【例题 3. 4】 假定 用 户 A 向 用 户 B 传输 消息 的 过 程 如 图 3. 1 所 示 , 其 中 A 和 也 是 用 
户 A 和 用 户 也 的 标识 符 ,KA 和 KB 是 用 户 A 和 用 户 B 与 KDC 之 间 的 共享 密 钥 。 假 定 
用 户 HH 具有 与 KDC 之 间 的 共享 密 钥 KH, 且 用 户 H 可 以 嗅 探 用 户 A、 用 户 B 和 KDC 之 
间 传 输 的 信息 ,给 出 用 户 H 获得 用 户 A 发 送 给 用 户 B 的 消息 M 的 过 程 。 

【解析 】 

(1) 用 户 H 嗅 探 到 用 户 A 发 送 给 KDC 的 Era (R) 和 用 户 A 发 送 给 用 户 B 的 Exs(R) 
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人 EMNIESG 用 PH KH 


3.1 用 户 A 向 用 户 B 传 输 消息 的 过 程 





与 Er(M)。 

(2) 用 户 H 向 KDC 发送 A HI ExA(CR), 即 伪造 用 户 A 需要 向 用 户 H 加 密 发 送 消 
息 的 请 求 。 

(3) KDC 向 用 户 H 发 送 Eka(R) 。 

(4) 用 户 于 接收 到 Eka(R) 后 ,解密 出 人 ,根据 R 和 Er(M) 解 密 出 M。 

【例题 3.5】 在 图 3. 2 所 示 的 加 密 过 程 中 ,IV 是 初始 向 量 ,mo .ma 、… my 是 明文 数 
据 段 ,co .cy、… cs 是 密 文 数据 段 ,k 是 密 钥 。 回 答 以 下 问题 。 

(1) 给 出 如 图 3. 2 所 示 的 加 密 过 程 对 应 的 工作 模式 ,并 给 出 加 密 算法 。 

(2) 给 出 如 图 3. 2 所 示 的 加 密 过 程 对 应 的 解密 过 程 ,并 给 出 解密 算法 。 
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图 3.2 加 密 过 程 
(3) 简 述 这 种 工作 模式 的 优 缺 点 。 
【解析 】 
(1) 工作 模式 是 明 密 文 链接 模式 (Plaintext and Ciphertext Block Chaining) ,加 密 算 
法 如 下 。 
co=Er (mo ODIV) (一 0) 


ci=Ei(miiDc Bm) (i=1,2,.,p) 
(2) 解密 过 程 如 图 3. 3 所 示 。 解 密 算法 如 下 。 
m=Di(c)BIV (i=0) 
mi;=Di (c;) Pe_ Dm; (i=1,2,"…,p) 
(3) 优点 是 对 于 有 规则 重复 的 明文 , 密 文 也 不 会 是 有 规则 重复 的 。 缺 点 是 明文 或 密 
文中 只 要 发 生 一 位 错误 ,该 位 错误 将 影响 后 续 所 有 的 加 密 或 解密 结果 。 这 种 现象 称 为 错 
误 传播 。 
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图 3.3 解密 过 程 
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【例题 3. 6】 完成 字符 串 “this is a good job” 恺 撒 密码 加 密 /解密 过 程 (加 密 / 解 密 过 
程 不 含 字符 串 中 的 空格 ) 。 

【解析 】 恺 撤 密 码 的 加 密 过 程 如 下 : 字符 串 中 的 每 一 个 字符 用 字符 表 中 该 字符 之 后 
的 第 三 个 字符 替代 。 因 此 ,完成 加 密 过 程 后 ,字符 串 *this is a good job” 对 应 的 密 文 是 
“wklv lv d jrrg mre”。 恺 撤 密 码 的 解密 过 程 如 下 : 字符 串 中 的 每 一 个 字符 用 字符 表 中 该 
字符 之 前 的 第 三 个 字符 替代 。 因 此 ,完成 解密 过 程 后 ,字符 串 “wklv lv d jrrg mre” 对 应 的 
明文 是 “this is a good job”。 

【例题 3.7】 假定 密 钥 串 是 “work”, 完 成 字符 串 “this is a good job” 维 吉 尼 亚 密码 加 
密 /解密 过 程 ( 加 密 /解密 过 程 不 含 字符 串 中 的 空格 ) 。 

【解析 】 维 吉 尼 亚 密 码 将 26 个 字母 分 别 编号 ,其 中 a 的 编号 为 0,b 的 编号 为 1, 依 
此 类 推 。 密 钥 串 “work” 对 应 的 编号 分 别 是 “22,14,17,10”, 将 字符 串 “this is a good job” 
以 密 钥 串 的 长 度 4 为 单位 分 段 ,分 为 “this isag oodj ob”。 加 密 过 程 如 表 3. 1 所 示 , 求 出 分 
段 后 每 一 段 中 4 个 字符 对 应 的 编号 ,4 个 字符 对 应 的 编号 分 别 加 上 “22,14,17,10”。 然 后 
对 和 进行 26 的 模 运 算 , 模 运算 结果 就 是 密 文中 该 字符 的 编号 。 表 3. 1 中 第 2 行 所 示 的 是 
明文 字母 对 应 的 编号 。 表 3. 1 中 第 3 行 所 示 的 是 对 各 个 明文 字母 编号 增加 的 值 。 表 3. 1 
中 第 4 行 所 示 的 是 对 和 进行 模 26 运算 后 的 结果 , 即 密 文字 母 的 编号 。 表 3. 1 中 第 5 行 所 
示 的 是 密 文字 母 。 因 此 ,完成 加 密 过程 后 ,字符 串 “this is a good job” 对 应 的 密 文 是 “pvzc 
eg r qkcu tkp”。 


表 3.1 加 密 过 程 
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解密 过 程 如 表 3. 2 所 示 ,将 密 文字 符 串 以 密 钥 串 的 长 度 4 为 单位 分 段 , 求 出 分 段 后 每 
一 段 中 4 个 字符 对 应 的 编号 ,4 个 字符 对 应 的 编号 分 别 减 去 ”22,14,17,10”, 如 果 某 个 字 
符 对 应 的 编号 不 够 减 ,加 上 26 后 再 进行 减 运算 ,得 到 的 差 就 是 明文 中 该 字符 的 编号 。 
表 3.2 中 第 2 行 所 示 的 是 密 文字 母 对 应 的 编号 。 表 3. 2 中 第 3 行 所 示 的 是 对 各 个 密 文字 
母 编 号 减 去 的 值 。 表 3. 2 中 第 4 行 所 示 的 是 差 值 , 即 明文 字母 的 编号 。 表 3. 2 中 第 5 行 


所 示 的 是 明文 字母 。 
表 3.2 解密 过 程 
人 
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【例题 3.8】 如 果 8 位 数据 段 的 置换 规则 为 {8,5,4,1,7,2,6,3}, 求 出 着 置换 规则 。 
假定 8 位 数据 段 是 10011101 ,给 出 置换 和 逆 置 换 过 程 。 

【解析 】 置换 规则 (8,5,4,1,7,2,6,3} 表 明 , 置 换 后 的 8 位 数据 段 中 的 第 1 位 是 置换 
前 的 8 位 数据 段 中 的 第 8 位 ,置换 后 的 8 位 数据 段 中 的 第 2 位 是 置换 前 的 8 位 数据 段 中 
的 第 5 位 , 依 此 类 推 ,置换 后 的 8 位 数据 段 中 的 第 8 位 是 置换 前 的 8 位 数据 段 中 的 第 3 
位 ,因此 ,置换 过 程 如 图 3.4 所 示 。 

由 于 置换 规则 {8,5,4,1,7,2,6,3} 将 第 1 位 置换 成 第 4 位 ,第 2 位 置换 成 第 6 位 ,第 3 
位 置换 成 第 8 位 , 依 此 类 推 ,第 8 位 置换 成 第 1 位 。 因 此 , 逆 置 换 需 要 将 第 4 位 置换 成 第 1 
位 ,第 6 位 置换 成 第 2 位 ,第 8 位 置换 成 第 3 位 , 依 此 类 推 , 第 1 位 置换 成 第 8 位 。 由 此 得 


出 逆 置 换 规则 为 {4,6,8,3,2,7,5,1}。 逆 置换 过 程 如 图 3.5 所 示 。 
10011101 il i000 
| 10011101 

图 3.4 置换 过 程 图 3.5 逆 置 换 过 程 


【例题 3. 9】 如 果 置 换 规则 是 {2,4,1,3} ,完成 字符 串 “this is a good job 置换 密码 加 
密 / 解 密 过 程 (加 密 / 解 密 过 程 不 含 字 符 串 中 的 空格 ) 。 

【解析 】 加 密 过 程 如 下 。 将 字符 串 “this is a good job” 以 长 度 4 为 单位 分 段 ,分 为 
“this isag oodj ob 口 口 ”, 其 中 口 是 添 加 的 空格 。 每 一 段 根据 置换 规则 {2,4,1,3} 进 行 如 
图 3. 6 所 示 的 置换 过 程 。 

根据 置换 规则 {2,4,1,3}, 求 出 逆 置 换 规则 过 程 如 下 ,由 于 置换 规则 {2,4,1,3} 表 明 ， 
明文 数据 段 中 的 第 1 个 字符 置换 成 密 文 数据 段 中 的 第 3 个 字符 ,因此 , 逆 置 换 过 程 需要 重 
新 将 密 文 数据 段 中 的 第 3 个 字符 置换 成 明文 数据 段 中 的 第 1 个 字符 , 依 此 类 推 ,将 密 文 数 
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解密 过 程 如 表 3. 2 所 示 ,将 密 文字 符 串 以 密 钥 串 的 长 度 4 为 单位 分 段 , 求 出 分 段 后 每 
一 段 中 4 个 字符 对 应 的 编号 ,4 个 字符 对 应 的 编号 分 别 减 去 ”22,14,17,10”, 如 果 某 个 字 
符 对 应 的 编号 不 够 减 ,加 上 26 后 再 进行 减 运算 ,得 到 的 差 就 是 明文 中 该 字符 的 编号 。 
表 3.2 中 第 2 行 所 示 的 是 密 文字 母 对 应 的 编号 。 表 3. 2 中 第 3 行 所 示 的 是 对 各 个 密 文字 
母 编 号 减 去 的 值 。 表 3. 2 中 第 4 行 所 示 的 是 差 值 , 即 明文 字母 的 编号 。 表 3. 2 中 第 5 行 


所 示 的 是 明文 字母 。 
表 3.2 解密 过 程 
人 
p v z c e g I q k c u t k p 





















































【例题 3.8】 如 果 8 位 数据 段 的 置换 规则 为 {8,5,4,1,7,2,6,3}, 求 出 着 置换 规则 。 
假定 8 位 数据 段 是 10011101 ,给 出 置换 和 逆 置 换 过 程 。 

【解析 】 置换 规则 (8,5,4,1,7,2,6,3} 表 明 , 置 换 后 的 8 位 数据 段 中 的 第 1 位 是 置换 
前 的 8 位 数据 段 中 的 第 8 位 ,置换 后 的 8 位 数据 段 中 的 第 2 位 是 置换 前 的 8 位 数据 段 中 
的 第 5 位 , 依 此 类 推 ,置换 后 的 8 位 数据 段 中 的 第 8 位 是 置换 前 的 8 位 数据 段 中 的 第 3 
位 ,因此 ,置换 过 程 如 图 3.4 所 示 。 

由 于 置换 规则 {8,5,4,1,7,2,6,3} 将 第 1 位 置换 成 第 4 位 ,第 2 位 置换 成 第 6 位 ,第 3 
位 置换 成 第 8 位 , 依 此 类 推 ,第 8 位 置换 成 第 1 位 。 因 此 , 逆 置 换 需 要 将 第 4 位 置换 成 第 1 
位 ,第 6 位 置换 成 第 2 位 ,第 8 位 置换 成 第 3 位 , 依 此 类 推 , 第 1 位 置换 成 第 8 位 。 由 此 得 


出 逆 置 换 规则 为 {4,6,8,3,2,7,5,1}。 逆 置换 过 程 如 图 3.5 所 示 。 
10011101 il i000 
| 10011101 

图 3.4 置换 过 程 图 3.5 逆 置 换 过 程 


【例题 3. 9】 如 果 置 换 规则 是 {2,4,1,3} ,完成 字符 串 “this is a good job 置换 密码 加 
密 / 解 密 过 程 (加 密 / 解 密 过 程 不 含 字 符 串 中 的 空格 ) 。 

【解析 】 加 密 过 程 如 下 。 将 字符 串 “this is a good job” 以 长 度 4 为 单位 分 段 ,分 为 
“this isag oodj ob 口 口 ”, 其 中 口 是 添 加 的 空格 。 每 一 段 根据 置换 规则 {2,4,1,3} 进 行 如 
图 3. 6 所 示 的 置换 过 程 。 

根据 置换 规则 {2,4,1,3}, 求 出 逆 置 换 规则 过 程 如 下 ,由 于 置换 规则 {2,4,1,3} 表 明 ， 
明文 数据 段 中 的 第 1 个 字符 置换 成 密 文 数据 段 中 的 第 3 个 字符 ,因此 , 逆 置 换 过 程 需要 重 
新 将 密 文 数据 段 中 的 第 3 个 字符 置换 成 明文 数据 段 中 的 第 1 个 字符 , 依 此 类 推 ,将 密 文 数 
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据 段 中 的 第 1 个 字符 置换 成 明文 数据 段 中 的 第 2 个 字符 ,将 密 文 数据 段 中 的 第 4 个 字符 
置换 成 明文 数据 段 中 的 第 3 个 字符 ,将 密 文 数据 段 中 的 第 2 个 字符 置换 成 明文 数据 段 中 
的 第 4 个 字符 ,由 此 得 出 着 置换 规则 是 {3,1,4,2}。 逆 置换 过 程 如 图 3.7 所 示 。 


this isag oodj oboo hsti sgia ojod booo 
hsti sgia ojod booo this isag oodj oboo 
3.6 置换 过 程 图 3.7 逆 置 换 过 程 


【例题 3.10】 假设 十 六 进 制 表示 的 64 位 密 钥 k=0f1571c947d9e859,P1 和 P2 选 位 
置换 规则 分 别 如 表 3. 3 和 表 3.4 所 示 。 分 别 求 出 DES 参与 第 一 次 迭代 运算 的 子 密 钥 k 
和 参与 第 二 次 迭代 运算 的 子 密 钥 ks 。 

表 3.3 P1 选 位 置换 规则 


57 49 41 33 25 17 9 1 58 50 42 34 26 18 





10 2 59 51 43 35 27 19 11 3 60 52 44 36 





63 55 47 39 31 23 15 7 62 54 46 38 30 22 









































14 6 61 53 45 37 29 21 13 5 28 20 12 4 









































44 49 39 56 34 53 46 42 50 36 29 32 


【解析 】 二 进 制 表示 的 64 位 密 钥 k 如 下 。 
00001111 00010101 01110001 11001001 01000111 11011001 11101000 01011001 
64 位 密 钥 k 从 左 到 右 的 编号 依次 为 1 一 64, 表 3. 3 所 示 的 Pl 选 位 置换 规则 表明 ,28 
位 Cs 的 第 1 位 是 64 位 密 钥 k 的 第 57 位 ,第 2 位 是 64 位 密 钥 k 的 第 49 位 ,第 28 位 是 64 
位 密 钥 k 的 第 36 位 。28 位 Du 的 第 1 位 是 64 位 密 钥 的 第 63 位 ,第 2 位 是 64 位 密 钥 上 
的 第 55 位 ,第 28 位 是 64 位 密 钥 k 的 第 4 位 。 按 照 如 表 3. 3 所 示 的 Pl 选 位 置换 规则 完 
成 置换 运算 后 ,得 到 的 28 位 C, 和 Du 分 别 如 下 所 示 。 
Co=01101000 11111100 01000100 1010 
D,=00010001 00010011 11101001 0110 
分 别 将 Cs 和 Du, 循环 左 移 1 位 ,得 到 以 下 结果 。 
C=1101000111111000100010010100 
D,=0010001000100111110100101100 
C1 和 DD, 合并 为 如 下 56 位 的 CD, ,56 位 的 CD, 从 左 到 右 的 编号 依次 为 1 一 56。 
CiD;=1101000111 1110001000 1001010000 1000100010 0111110100 101100 
表 3.4 所 示 的 P2 选 位 置换 规则 表明 ,48 位 ki 的 第 1 位 是 56 位 CD 的 第 14 位 ,第 
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2 位 是 56 位 CiD, 的 第 17 位 ,第 48 位 是 56 位 CD 的 第 32 位。 按照 如 表 3.4 所 示 的 
P2 选 位 置换 规则 完成 置换 运算 后 ,得 到 如 下 参与 第 一 次 迭代 运算 的 子 密 钥 ki 。 
k=011110 000011 001111 000011 001000 001101 101001 110000 
分 别 将 C, 和 Di 循环 左 移 1 位 ,得 到 以 下 结果 。 
C;=1010001111110001000100101001 
D;, =0100010001001111101001011000 
Cs 和 D; 合并 为 如 下 56 位 的 CD; ,56 位 的 CD; 从 左 到 右 的 编号 依次 为 1~56。 
C; D,=1010001111 1100010001 0010100101 0001000100 1111101001 011000 

表 3.4 所 示 的 P2 选 位 置换 规则 表明 ,48 位 k 的 第 1 位 是 56 位 CD; 的 第 14 位 ,第 
2 位 是 56 位 CD; 的 第 17 位 ,第 48 位 是 56 位 CD; 的 第 32 位 。 按 照 如 表 3. 4 所 示 的 
P2 选 位 置换 规则 完成 置换 运算 后 ,得 到 如 下 参与 第 二 次 迭代 运算 的 子 密 钥 ks 。 

k: 王 001010 110001 101001 110100 110010 100100 100011 011000 

【例题 3. 11】 根据 Diffie-Hellman 计算 密 钥 机 制 ,假设 素数 go=11, 原 根 a 二 2, 完 成 
下 列 计算 。 

(1) 证 明 2 是 素数 11 的 原 根 。 

(2) 用 户 A 公 钥 Y= 二 9, 计 算 私 钥 XA 。 

(3) 用 户 B 公 钥 Ys 二 3, 计 算 共享 密 钥 KK。 

【解析 】 

(1) 2 mod 11=2,2 mod 11=4,2 mod 11=8,2: mod 11=5,2 mod 11=10,2° mod 
11=9,2’ mod 11=7,2 mod 11=3,2’ mod 11=6,2" mod 11 王 1。 即 12 mod 11,2: mod 
11,…,2”mod 11} 包 含 了 1~10 的 所 有 整数 。 由 此 证 明 ,2 是 素数 11 的 原 根 。 

(2) 由 于 YA==a*mod p, 根 据 2* mod 11=9 得 出 , 当 公 钥 YA 一 9 时 , 私 钥 XA 二 6。 

(3) K=YB*mod p=3° mod 11=3,。 

需要 说 明 的 是 , 当 p 的 二 进 制 数 位 数 超过 768 位 时 ,根据 现 有 计算 能 力 , 通 过 公 钥 YA 
求 出 对 应 的 私 钥 Xs 是 不 可 能 的 。 

【例题 3.12】 根据 以 下 值 ,给 出 RSA 加 密 /解密 运算 过 程 。 

(1) p=3,g=11,e=7,M=5。 

(2) p=5,g=11,e=3,M=9。 

(3) p=7,g=11,e=17,M=8。 

【解析 】 

(1) n=pXg=3X11=33。 

Gln)=(p—1)X(g—1)=2X10=20。 

根据 (7Xd) mod 20=1, 求 出 d=3。 

c=M:mod n=5’mod 33=14。 

M=c*mod "一 143mod 33=5。 

(2 n=pxXo= X11=$5, 

Dn)=(p—1)X(g—1)=4X10=40。 

根据 (3Xd) mod 40=1, 求 出 d= 二 27。 
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c=M:mod n=9mod 55=14。 

M=c mod n=14* mod 55 一 9。 

(3) n=pXg=7X11=77, 

Bn)=(p—1)X(g—1)=6X10=60, 

根据 (17Xd) mod 60==1, 求 出 d=53。 

< 一 Mmod n=8!" mod 77=57。 

M=c mod n=57* mod 77=8。 

【例题 3. 13】 假定 有 个 节点 ,需要 实现 两 两 节点 之 间 的 加 密 通信 ,分 别 计算 出 对 
称 密 钥 体制 和 公开 密 钥 体制 下 需要 的 总 的 密 钥 数 和 每 一 个 节点 需要 保持 的 密 钥 数 。 

【解析 】 在 对 称 密 钥 体制 下 ,每 一 对 节点 需要 有 独立 的 对 称 密 钥 ,n 个 节点 可 以 组 合 
成 aX(n 一 1)/2 对 节点 ,因此 , 密 钥 总 数 二 nX(n 一 1)/2。 每 一 个 节点 需要 与 其 他 nn 一 1 个 
不 同 的 节点 通信 ,因此 ,需要 保持 m 一 1 个 不 同 的 对 称 密 钥 。 

在 公开 密 钥 体 制 下 ,每 一 个 节点 需要 一 对 密 钥 , 即 公 钥 和 私 钥 对 ,n 个 节点 的 密 钥 总 
数 二 2Xn。 

每 一 个 节点 需要 与 其 他 一 1 个 不 同 的 节点 通信 ,因此 ,需要 保持 这 些 节点 对 应 的 
n 一 1 个 不 同 的 公 钥 。 为 了 解密 其 他 节点 发 送 给 它 的 密 文 ,需要 保持 自己 的 私 钥 。 


3.2 选择 题 分 析 


(1) 关于 密码 技术 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 密码 学 包括 密码 编码 学 和 密码 分 析 学 两 门 学 科 
B. 对 称 密 钥 密码 体制 也 称 为 单 密 钥 密码 体制 或 传统 密码 体制 ,基本 特征 是 发 送 
方 和 接收 方 共享 相同 的 密 钥 , 即 加 密 密 钥 与 解密 密 钥 相同 
C. 密码 体制 的 安全 既 依赖 于 对 密 钥 的 保密 ,又 依赖 于 对 算法 的 保密 
D. 对 称 密 钥 加 密 算法 不 易 实现 数字 签名 ,限制 了 它 的 应 用 范围 











答案 : C 
【分 析 】 现代 密码 体制 的 Kerckhoff's 原则 是 : 所 有 加 密 / 解 密 算法 都 是 公开 的 , 保 
密 的 只 是 密 钥 。 
(2) 好 的 加 密 算 法 只 能 采用 以 下 哪 一 项 方法 破译 密 文 ? ( 。 ) 
A. 穷 举 B. 数学 分 析 
C. 明文 和 密 文 对照 D. 分 析 密 文 规律 
答案 : A 
【分 析 】 好 的 加 密 算 法 除了 逐个 尝试 密 钥 空间 中 的 所 有 密 钥 ,不 应 有 其 他 破译 密 文 
的 有 效 方法 。 
(3) 安全 的 加 密 算法 具有 以 下 哪 一 项 特点 ? ( ) 
A. 只 能 用 穷 举 法 破译 密 文 B. 密 钥 长 度 足 够 
C. 经 得 住 网 格 计算 考验 D. 以 上 全 部 


答案 : D 
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【分 析 】 只 能 以 穷 举 法 破译 密 文 说 明 加 密 算法 可 靠 , 密 钥 长 度 足 够 说 明 穷 举 法 破译 
密 文 所 需 的 时 间 很 长 ,经 得 住 网 格 计算 考验 说 明 目 前 还 没有 找到 以 较 小 的 代价 用 穷 举 法 


破译 密 文 的 方法 。 
(4) 安全 的 加 密 算法 满足 以 下 哪 一 项 条 件 ? (。 ) 
A. 无 法 破译 密 文 B. 破译 密 文 的 成 本 超过 密 文 价值 
C. 破译 密 文 时 间 超 过 密 文 有 效 期 D. B 或 C 
答案 : D 


【分 析 】 不 存在 无 法 破译 的 密 文 ,区 别 在 于 破译 密 文 付出 的 代价 和 所 需 的 时 间 。 
(5) 在 网 络 安全 中 ,加 密 算 法 的 用 途 包 含 以 下 哪 一 项 ? (。 ) 
A. 加 密 信息 B. 信息 完整 性 检测 
C. 用 户 身 份 鉴别 D. 以 上 全 部 
答案 : D 
【分 析 】 在 网 络 安全 中 ,加 密 算法 不 再 仅仅 用 于 加 密 数 据 。 
(6) 关于 加 密 , 以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 加 密 是 明文 至 密 文 的 转换 过 程 
B. 加 密 必须 是 可 逆 的 
C. 只 能 通过 加 密 的 逆 过 程 完成 密 文 至 明文 的 转换 过 程 
D. 可 以 直接 从 密 文 导出 明文 
答案 : D 
【分 析 】 虽然 通过 加 密 的 逆 过 程 可 以 完成 密 文 至 明文 的 转换 过 程 , 即 解 密 过 程 ,但 完 
成 解密 过 程 需要 两 个 前 提 : 一 是 掌握 与 加 密 算法 对 应 的 解密 算法 ;二 是 掌握 与 加 密 密 钥 
对 应 的 解密 密 钥 。 这 两 个 前 提 是 无 法 直接 通过 密 文 导 出 的 。 
(7) 对 于 c= 二 Elm,k.)(c 是 密 文 ,E 是 加 密 算法 ,m 是 明文 ,k. 是 加 密 密 钥 ) ,以 下 哪 一 





项 描述 是 错误 的 ? (  ) 
A. 无 法 根据 c 导出 m B. 无 法 根据 c 和 下 导出 疡 
C. 无 法 根据 c\E 和 wm 导出 k。 D. 无 法 根据 Ek。 和 c 导出 
答案 : D 


【分 析 】 现代 密码 体制 的 加 密 /解密 算法 都 是 公开 的 ,因此 ,可 以 根据 下 导出 解密 算 
法 D。 对 于 对 称 密 钥 体制 ,解密 密 钥 k 等 于 加 密 密 钥 k., 因 此 ,在 对 称 密 钥 体制 下 ,可 以 
根据 Ek 和 < 导出 m。 
(8) 关于 对 称 密 钥 体制 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 加 密 /解密 算法 是 公开 的 
B. 加 密 密 钥 等 于 解密 密 钥 
C. 保密 密 钥 是 唯一 的 安全 保证 
D. 可 以 安全 地 基于 网 络 分 发 密 钥 
答案 : D 
【分 析 】 由 于 密 钥 不 能 被 第 三 方 窃取 ,因此 ,基于 网 络 分 发 密 钥 是 存在 安全 隐患 的 。 
(9) 关于 对 称 密码 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
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A. 加 密 /解密 处 理 速度 快 B. 加 密 /解密 使 用 的 密 钥 相同 
C. 密 钥 管理 和 分 发 简单 D. 数字 签名 困难 
答案 : C 


【分 析 】 对 称 密码 的 主要 缺陷 是 密 钥 管 理 和 分 发 困难 。 
(10) 关于 非 对称 密 钥 体制 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 加 密 / 解 密 算法 是 公开 的 B. 加 密 密 钥 不 等 于 解密 密 钥 
C. 无 法 通过 加 密 密 钥 导出 解密 密 钥 。” D. 需要 基于 网 络 分 发 解密 密 钥 
答案 : D 
【分 析 】 由 于 只 有 接收 端 才 需 要 解密 密 钥 ,因此 ,不 存在 分 发 解密 密 钥 的 问题 。 
(11) 关于 非 对 称 密 钥 体制 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 基于 难 解 问题 设计 密 钥 是 非 对 称 密 钥 设 计 的 主要 思想 
B. 公开 密 钥 易于 实现 数字 签名 
C. 公开 密 钥 的 优点 在 于 从 根本 上 克服 了 对 称 密 钥 分 发 上 的 困难 
D. 公开 密 钥 加 密 算法 安全 性 高 ,与 对 称 密 钥 加 密 算法 相 比 ,更 加 适合 于 数据 
加 密 
答案 : D 
【分 析 】 公开 密 钥 加 密 算法 和 对 称 密 钥 加 密 算 法 的 安全 性 都 是 有 保障 的 ,但 公开 密 
钥 加 密 算法 的 计算 复杂 性 远 高 于 对 称 密 钥 加 密 算法 ,因此 ,公开 密 钥 加 密 算 法 并 不 适合 于 
数据 加 密 。 
(12) 密码 分 析 学 是 研究 密码 破译 的 科学 ,在 密码 分 析 过 程 中 ,以 下 哪 一 项 是 破译 密 
文 的 关键 ? (  ) 
A. 截获 密 文 
B. 截获 密 文 并 获得 密 钥 
C. 截获 密 文 ,了 解 加 密 算法 和 解密 算法 
D. 截获 密 文 ,获得 密 钥 并 了 解 解密 算法 
答案 : D 
【分 析 】 解密 的 关键 是 获得 密 钥 和 解密 算法 。 
(13) 通过 无 线 电 侦 听 获取 密 文 ,并 对 密 文 进行 破译 属于 以 下 哪 种 攻击 ? ( ) 


T 





A. 唯 密 文 攻击 B. 已 知 明文 攻击 
C. 选择 明文 攻击 D. 选择 密 文 攻击 
答案 : A 


【分 析 】 在 破译 密 文 时 ,仅仅 截获 若干 密 文 。 
(14) 已 经 发 现 有 间谍 活动 , 且 能 够 侦 听 间谍 发 出 的 无 线 电 ,故意 发 生 某 个 间谍 关注 
的 事件 , 且 侦 听 到 间 恋 汇报 该 事件 的 密 文 。 这 种 情况 属于 以 下 哪 种 攻击 ? ( ) 


A. 唯 密 文 攻击 B. 已 知 明文 攻击 
C. 选择 明文 攻击 D. 选择 密 文 攻击 
答案 : B 


【分 析 】 解析 密 钥 时 , 密 文 对 应 的 明文 是 知道 的 。 
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(15) 黑客 攻击 过 程 如 图 3. 8 所 示 , 黑 客 终 端 1 根据 解析 密 钥 要 求 产生 并 向 终端 A 发 送 
明文 ,黑客 终端 2 侦 听 到 AP 发 送 给 终端 A 的 密 文 。 这 种 情况 属于 以 下 哪 种 攻击 ? (。 ) 








图 3.8 黑客 攻击 过 程 


A. 唯 密 文 攻击 B. 已 知 明文 攻击 
C. 选择 明文 攻击 D. 选择 密 文 攻击 
答案 : C 


【分 析 】 解析 密 钥 时 , 密 文 对 应 的 明文 是 知道 的 , 且 明 文 内 容 是 由 黑客 指定 的 。 
(16) 黑客 攻击 过 程 如 图 3.9 所 示 , 黑 客 终端 2 冒充 终端 A 发 送 MAC 帧 ,MAC 帧 中 
的 密 文 是 黑客 终端 2 根据 解析 密 钥 要 求 指定 的 ,AP 将 解密 后 的 明文 发 送 给 黑客 终端 1。 





这 种 情况 属于 以 下 哪 种 攻击 ? (  ) 
局 AP AN 
| 细 (9 己 
A/ 黑客 终端 1 
.黑客 终端 2 
图 3.9 黑客 攻击 过 程 
A. 唯 密 文 攻击 B. 已 知 明文 攻击 
C. 选择 明文 攻击 D. 选择 密 文 攻击 
答案 : D 


【分 析 】 解析 密 钥 时 , 密 文 对 应 的 明文 是 知道 的 , 且 密 文 内 容 是 由 黑客 指定 的 。 
(17) 关于 分 组 密码 体制 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 


A. 需要 对 明文 分 段 B. 密 文 长 度 与 明文 长 度 相同 
C. 密 文 与 明文 是 一 对 一 映射 D. 密 钥 长 度 与 密 文 长 度 相同 
答案 : D 


【分 析 】 分 组 密码 体制 下 , 密 钥 长 度 与 密 文 长 度 之 间 没 有 严格 的 相互 制约 关系 。 
(18) 关于 分 组 密码 体制 ,以 下 哪 一 项 描述 是 正确 的 ? (  ) 

A. 分 段 后 的 明文 数据 段 长 度 可 以 任意 , 密 钥 长 度 可 以 任意 

B. 分 段 后 的 明文 数据 段 长 度 可 以 任意 , 密 钥 长 度 需要 足够 大 

C. 分 段 后 的 明文 数据 段 长 度 需要 足够 大 , 密 钥 长 度 可 以 任意 

D. 分 段 后 的 明文 数据 段 长 度 需要 足够 大 , 密 钥 长 度 需要 足够 大 


答案 : D 
【分 析 】 分 段 后 的 明文 数据 段 长 度 和 密 钥 长 度 一 起 确定 该 分 组 密码 体制 允许 存在 的 
明文 与 密 文 之 间 的 映射 数量 。 
(19) 关于 DES, 以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 密 钥 64 位  B. 密 钥 56 位 C. 密 钥 128 位 D. 密 钥 32 位 
答案 : B 
【分 析 】 DES 真正 的 密 钥 长 度 是 56 位 。 
(20) 关于 DES, 以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 明文 数据 段 长 度 64 位 , 密 文 长 度 56 位 
B. 明文 数据 段 长 度 56 位 , 密 文 长 度 64 位 
C. 明文 数据 段 长 度 56 位 , 密 文 长 度 56 位 
D. 明文 数据 段 长 度 64 位 , 密 文 长 度 64 位 
答案 : D 
【分 析 】 DES 明文 数据 段 长 度 和 密 文 长 度 都 是 64 位 。 任 意 长 度 的 明文 需要 分 割 为 
64 位 长 度 的 数据 段 。 
(21) 在 DES 加 密 过 程 中 ,需要 进行 16 轮 加 密 , 每 一 轮 的 子 密 钥 长 度 是 (  )。 
A. 16 B. 32 Cd D. 64 
答案 : C 
【分 析 】 子 密 钥 长 度 是 48 位 。 
(22) 关于 DES, 以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 只 能 通过 穷 举 法 解析 密 钥 
B. 在 现 有 计算 能 力 下 , 密 钥 集 已 经 大 到 无 法 解析 密 钥 的 程度 
C. 在 现 有 计算 能 力 下 ,完成 一 次 加 密 运 算 的 过 程 需要 很 长 时 间 
D. 可 以 通过 有 限 的 密 文 和 明文 对 解析 出 密 钥 
答案 : A 
【分 析 】 DES 加 密 算法 的 复杂 性 可 以 保证 只 能 通过 穷 举 法 解析 密 钥 。 但 随 着 计算 
机 运算 速度 的 提高 ,完成 一 次 加 密 运 算 需 要 的 时 间 越 来 越 短 。 云 计算 的 应 用 使 个 人 获得 
的 计算 能 力 越 来 越 大 ,暴力 破解 DES 密 钥 已 经 成 为 可 能 。 
(23) 如 果 替 代 规 则 表 如 表 3.5 所 示 , 则 当 S 盒 输入 110011 时 ,输出 的 是 以 下 哪 一 个 
值 ? ( ) 
表 3.5 替代 规则 表 



























































0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111 
A. 0010 B. 1010 C. 1011 D. 0011 
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答案 : C 
【分 析 】 假定 6 位 数据 段 表示 成 a1azasasasas ,将 6 位 数据 段 分 成 两 部 分 : aas 和 
azasasas ,两 位 a1as 用 于 在 表 3.5 对 应 的 4 行 替代 编码 中 选择 1 行 ,4 位 asasasas 用 于 在 通 
过 a1as 选 定 的 这 一 行 的 16 个 4 位 替代 编码 中 选择 一 个 蔡 代 编码 。 当 输入 的 6 位 数据 段 
a1azasatasas 一 110011 时 ,用 11 选 定 对 应 的 第 4 行 ,用 1001 选择 第 4 行 中 第 9 个 替代 编 
码 ,这 里 是 十 进 制 数 11, 即 1011。 
(24) 两 个 密 钥 三 重 DES 加 密 , 即 c=Ex (De (Eu (p))),K1 关 K2, 其 有 效 的 密 钥 长 
度 是 (  )。 
A. 56 B. 128 C. 168 D. 112 
答案 : D 
【分 析 】 每 个 DES 密 钥 的 有 效 长 度 是 56 位 ,两 个 DES 密 钥 的 有 效 长 度 是 112 位 。 
(25) 关于 AES, 以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 只 能 通过 穷 举 法 解析 密 钥 
B. 在 现 有 计算 能 力 下 , 密 钥 集 已 经 大 到 无 法 解析 密 钥 的 程度 
C. 在 现 有 计算 能 力 下 ,完成 一 次 加 密 运算 的 过 程 需要 很 长 时 间 
D. 无 法 通过 有 限 的 密 文 和 明文 对 解析 出 密 钥 
答案 : C 
【分 析 】 由 于 AES 加 密 算法 的 复杂 性 和 数据 段 长 度 都 比 DES 高 ,因此 ,AES 完成 
一 次 加 密 运算 的 过 程 需 要 的 时 间 大 于 DES, 但 由 于 现代 计算 机 的 计算 能 力 确实 很 强 ， 
AES 完成 一 次 加 密 运 算 的 过 程 所 需要 的 时 间 不 会 很 长 。 在 现 有 计算 能 力 下 ,无 法 暴力 破 
解 AES 密 钥 的 主要 原因 是 AES 的 密 钥 集 很 大 。 
(26) 关于 AES 的 密 钥 长 度 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 128 B. 192 C. 256 D. 64 
答案 : D 
【分 析 】 AES 的 密 钥 长 度 不 能 是 64。 
(27) 关于 AES, 以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 明文 数据 段 长 度 64 位 , 密 文 长 度 64 位 
B. 明文 数据 段 长 度 128 位 , 密 文 长 度 64 位 
C. 明文 数据 段 长 度 64 位 , 密 文 长 度 128 位 
D. 明文 数据 段 长 度 128 位 , 密 文 长 度 128 位 
答案 : D 
【分 析 】 AES 明文 数据 段 长 度 和 密 文 长 度 都 是 128 位 。 任 意 长 度 的 明文 需要 分 割 
为 128 位 长 度 的 数据 段 。 
(28) 以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 在 电码 本 模式 下 ,有 规律 重复 的 明文 产生 有 规律 重复 的 密 文 
B. 在 加 密 分 组 链接 模式 下 ,有 规律 重复 的 明文 不 会 产生 有 规律 重复 的 密 文 
C. 在 计数 器 模式 下 ,有 规律 重复 的 明文 不 会 产生 有 规律 重复 的 密 文 
D. 在 计数 器 模式 下 ,发 送 端 和 接收 端 只 需 相 同 的 密 钥 
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答案 : D 


【分 析 】 在 计数 器 模式 下 ,发 送 端 和 接收 端 不 仅 需要 相同 的 密 钥 ,还 需要 同步 计数 
器 值 。 
(29) 关于 实际 流 密码 体制 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 密 钥 集 是 有 限 的 
B. 密 钥 之 间 无 法 做 到 没有 任何 相关 性 
C. 发 送 端 和 接收 端 必须 同步 密 钥 
D. 加 密 算法 复杂 性 不 够 
答案 : D 
【分 析 】 流 密码 体制 的 安全 性 依赖 以 下 因素 : 一 是 密 钥 集 足够 大 ,每 一 次 加 密 运算 
使 用 不 同 的 密 钥 ;二 是 在 密 钥 集 中 随机 选取 密 钥 , 密 钥 之 间 不 存在 任何 相关 性 。 由 于 “一 
次 一 密 ”, 因 此 对 加 密 算法 的 复杂 性 没有 要 求 。 
(30) 关于 WEP 加 密 机 制 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 用 伪 随 机 数 生成 器 产生 密 钥 
B. 作为 随机 数 种 子 一 部 分 的 原始 密 钥 k 是 不 变 的 
C. 密 钥 集 中 的 密 钥 数 过 2* 
D. 原始 密 钥 k 的 长 度 只 能 是 40 或 104 
答案 : D 
【分 析 】 WEP 采用 流 密码 体制 的 加 密 机 制 ,其 安全 性 主要 取决 于 密 钥 集 的 大 小 和 密 
钥 之 间 的 相关 性 。 由 于 计算 一 次 性 密 钥 时 ,原始 密 钥 k 是 不 变 的 ,因此 ,原始 密 钥 k 的 长 
度 对 密 钥 集 的 大 小 和 密 钥 之 间 的 相关 性 影响 不 大 。 当 然 ,原始 密 钥 k 的 长 度 越 大 , 越 难 通 
过 伪 随 机 数 生成 器 产生 的 一 次 性 密 钥 解析 出 原始 密 钥 k。 
(31) 关于 集中 式 密 钥 分 配 过 程 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
. 需要 事先 约定 用 户 和 KDC 之 间 的 主 密 钥 
B. 更 换 用 户 和 KDC 之 间 的 主 密 钥 比较 麻烦 
C. 通信 双方 必须 注册 在 同一 个 KDC 
D. 获取 通信 双方 使 用 的 会 话 密 钥 比较 困难 
答案 : D 
【分 析 】 采用 集中 式 密 钥 分 配 过 程 带 来 的 主要 优点 是 : 方便 通信 双方 获取 通信 时 使 
用 的 会 话 密 钥 。 
(32) 关于 Diffie-Hellman 密 钥 交换 算法 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 用 于 同步 网 络 中 任何 两 个 终端 之 间 的 密 钥 
B. 交换 的 随机 数 以 明文 方式 传输 
C. 无 法 通过 截获 交换 的 随机 数 导 出 密 钥 
D. 可 以 抵御 中 间 人 攻击 
答案 : D 
【分 析 】 Diffie-Hellman 密 钥 交 换算 法 无 法 抵御 中 间 人 攻击 ,因此 ,要 么 交换 随机 数 
时 提供 完整 性 检测 功能 ,要 么 双方 具有 检测 对 方 使 用 的 密 钥 的 功能 。 
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(33) 关于 Diffie-Hellman 密 钥 交换 算法 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 安全 性 取决 于 大 素数 p 的 位 数 
B. 知道 大 素数 p、 原 根 a 和 相互 交换 的 随机 数 Y 一 wxmod p, 无 法 导出 X 
C. 常用 的 大 素数 p 的 位 数 超过 768 位 
D. 大 素数 p 的 位 数 越 大 越 好 
答案 : D 
【分 析 】 当 大 素数 p 的 位 数 较 大 时 ,无 论 是 计算 相互 交换 的 随机 数 的 过 程 ,还 是 根 
据 相 互 交换 的 随机 数 计算 密 钥 的 过 程 ,都 是 计算 复杂 性 很 大 的 计算 过 程 ,因此 ,正确 的 做 
法 是 ,在 保证 安全 性 的 前 提 下 ,选择 合适 的 大 素数 p 的 位 数 。 
(34) 关于 公开 密 钥 加 密 算 法 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 无 法 根据 公 钥 PK 推导 出 私 钥 SK 
B. 无 法 根据 PK 和 密 文 c= 二 Epkr (m) 推 导出 明文 mm 
C. 公 钥 PK 和 私 钥 SK 是 成 对 的 
D. 只 能 用 公 钥 PK 和 加 密 算法 将 明文 转换 成 密 文 
答案 : D 
【分 析 】 明文 转换 成 密 文 是 一 种 变换 过 程 , 且 这 种 变换 过 程 是 可 逆 的 。 因 此 ,用 解 
密 算法 和 私 钥 SK 对 明文 进行 解密 运算 的 过 程 (Dsk (mx) ) 也 是 一 种 变换 过 程 , 且 这 种 变 
换 过 程 是 可 逆 的 (Epk (Dsr (m)) 三 m)。 因 此 ,用 解密 算法 和 私 钥 SK 对 明文 进行 解密 运 
算 的 过 程 也 是 将 明文 转换 成 密 文 的 过 程 , 且 可 以 用 公 钥 PK 和 加 密 算 法 将 密 文 还 原 成 
明文 。 
(35) 关于 RSA 加 密 算法 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 公 钥 和 私 钥 不 同 
B. 无 法 根据 公 钥 推导 出 私 钥 
C. 密 文 和 明文 等 长 
D. 可 靠 性 基于 大 数 因子 分 解困 难 的 事实 
答案 : C 
【分 析 】 RSA 加 密 运算 不 用 替代 和 置换 ,明文 和 密 文 长 度 之 间 关 系 是 变化 的 ,一 般 
不 会 相同 。 
(36) 关于 RSA 公开 密 钥 加 密 算 法 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. n 二 pXg,p 和 g 是 两 个 大 素数 
B. 欧 拉 函数 B(n)==(p 一 1)X(g 一 1) 
C. 根据 e 和 @$(n) 可 以 计算 出 满足 等 式 ed mod $B(n)==1 的 d 
D. 根据 e 入 可 以 计算 出 满足 等 式 ed mod B(n)==1 的 d 
答案 : D 
【分 析 】 根据 。 计算 出 满足 等 式 ed mod GB(n)=1 的 d 时 ,需要 知道 8(n)。 计 算 
GB(n) 时 ,需要 知道 p 和 g。 当 nn 足够 大 时 ,无 法 根据 得 出 p 和 g, 且 使 n= 一 pXg。 
(37) RSA 公 钥 密码 体制 中 ,假定 公 钥 为 (e,n) 二 (13,35) , 则 私 钥 d 是 (  )。 
痪 ; 入 B. 13 G5 Bi 村 
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答案 : B 


【分 析 】 n= 二 35, 说 明 两 个 素数 p==5,g==7,@(n)==(p 一 1)X(g 一 1)=4X6=24。 e 
13, 根 据 (13Xd)mod 24=1, 求 出 d=13。 
(38) 利用 公开 密 钥 算 法 进行 数据 加 密 时 ,采用 的 方式 是 (。”)。 
A. 发 送 方 用 公开 密 钥 加 密 , 接 收 方 用 公开 密 钥 解密 
B. 发 送 方 用 私有 密 钥 加 密 ,接收 方 用 私有 密 钥 解密 
C. 发 送 方 用 公开 密 钥 加 密 ,接收 方 用 私有 密 钥 解密 
D. 发 送 方 用 私有 密 钥 加 密 ,接收 方 用 公开 密 钥 解密 
答案 : C 
【分 析 】 一 是 公 钥 是 公开 的 , 私 钥 是 保密 的 ;二 是 只 能 由 接收 方 解 密 。 因 此 ,只 能 是 
发 送 方 用 公开 密 钥 加 密 ,接收 方 用 私有 密 钥 解密 。 
(39) 关于 对 称 密 钥 体制 和 非 对 称 密 钥 体制 结合 ,以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 用 对 称 密 钥 加 密 算法 加 密 数据 ,用 非 对称 密 钥 加 密 算 法 加 密 对 称 密 铀 
B. 用 对 称 密 钥 加 密 算法 加 密 非 对 称 密 钥 ,用 非 对 称 密 钥 加 密 算 法 加 密 数据 
C. 只 用 非 对 称 密 钥 加 密 算法 加 密 数据 
D. 只 用 对 称 密 钥 加 密 算法 加 密 数 据 











答案 : A 
【分 析 】 结合 对 称 密 钥 体制 和 非 对 称 密 钥 体制 优势 的 做 法 是 : 用 对 称 密 钥 加 密 算法 
加 密 数据 ,用 非 对 称 密 钥 加 密 算法 加 密 对 称 密 钥 ,这 样 做 既 减 少 了 计算 量 ,又 解决 了 对 称 
密 钥 分 发 困难 的 问题 。 
(40) 数字 信封 技术 能 够 实现 以 下 哪 一 项 功能 ? ( ) 
A. 对 发 送 者 和 接收 者 的 身份 进行 认证 
B. 保证 数据 在 传输 过 程 中 的 安全 性 
C. 防止 交易 中 的 抵赖 发 生 
D. 隐藏 发 送 者 的 身份 
答案 : B 
【分 析 】 数字 信封 可 以 用 对 称 密 钥 加 密 算法 加 密 数据 ,用 非 对 称 密 钥 加 密 算法 加 密 
对 称 密 钥 。 
(41) A 方 有 一 对 密 钥 ( 公 钥 PKA, 私 钥 SKA),B 方 有 一 对 密 钥 ( 公 钥 PKB, 私 钥 
SKB) ,如 果 A 方向 B 方 发 送 密 文 C==Eprs (Dsra (M))。B 方 的 解密 方案 是 (。 )。 


A. Dsxa(Erra(C)) B. Epxa (Epra(C)) 
C. Epra (Dsra(C)) D. Dsrs (Dsxs(C)) 
答案 : C 


【分 析 】 Eixa (Dass (C0))= Ezxa (Dan (Exa (Dsxr (M))))= Eyer (Dra (M))=M, 
(42) 公开 密 钥 密码 体制 的 含义 是 (。”)。 
A. 将 所 有 密 钥 公开 B. 将 秘密 密 钥 公开 ,公开 密 钥 保密 
C. 将 公开 密 钥 公开 ,秘密 密 钥 保密 D. 两 个 密 钥 相 同 
答案 : C 
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【分 析 】 公开 密 钥 密码 体制 分 配 两 个 密 钥 : 公开 密 钥 和 秘密 密 钥 。 公 开 密 钥 公 开 ， 
秘密 密 钥 保密 。 


3.3 名 词 解 释 


(1) 加 密 

明文 至 密 文 的 转换 过 程 。 

(2) 解密 

密 文 至 明文 的 转换 过 程 。 

(3) 对 称 密 钥 体 制 

加 密 密 钥 等 于 解密 密 钥 的 密 钥 体制 。 

(4) 非 对 称 密 钥 体制 

加 密 密 钥 不 等 于 解密 密 钥 , 且 无 法 由 一 个 密 钥 直接 导出 另 一 个 密 钥 的 密 钥 体制 。 

(5) 分 组 密码 体制 

一 种 将 明文 分 割 为 固定 长 度 的 数据 段 ,每 一 段 数 据 段 独立 完成 加 密 过 程 , 产 生 与 数据 
段 长 度 相等 的 密 文 ,加密 /解密 算法 足够 复杂 ,以 至 于 无 法 通过 有 限 的 明文 和 密 文 对 解析 
出 密 钥 的 密码 体制 。 

(6) 流 密码 体制 

一 种 采用 “一 次 一 密 ”, 且 密 钥 必 须 在 足够 大 的 密 钥 集 中 随机 产生 ,确保 密 钥 之 间 没 有 
相关 性 ,攻击 者 无 法 根据 已 知 的 有 限 密 钥 序 列 推导 出 下 一 次 用 于 加 密 运算 的 密 钥 ,但 对 加 
密 /解密 算法 的 复杂 性 没有 要 求 的 密码 体制 。 

(7) 替代 运算 

将 数据 段 中 的 二 进 制 数 分 段 ,每 一 段 二 进 制 数 用 对 应 的 编码 代替 。 

(8) 置换 运算 

按照 置换 规则 重新 排列 数据 段 中 二 进 制 数 的 顺序 。 

(9) DES 

一 种 分 组 密码 体制 的 加 密 算 法 ,明文 数据 段 长 度 和 密 文 长 度 为 64 位 ,输入 密 钥 长 度 
为 64 位 ,但 只 有 56 位 是 真正 密 钥 。 

(10) AES 

一 种 分 组 密码 体制 的 加 密 算 法 ,明文 数据 段 长 度 和 密 文 长 度 为 128 位 , 密 钥 长 度 可 以 
是 128.192 或 256 位 。 

(11) 电码 本 模式 

一 种 分 组 密码 操作 模式 ,加密 时 ,每 一 段 明文 独立 映射 成 密 文 ;解密 时 ,每 一 段 密 文 独 
立 映射 成 明文 。 

(12) 加 密 分 组 链接 模式 

一 种 分 组 密码 操作 模式 ,加 密 运算 模块 的 输入 不 是 分 割 明文 后 产生 的 数据 段 wm; ,而 
是 数据 段 m; 和 前 一 次 加 密 运 算 后 的 结果 c;_, 异 或 运算 后 的 结果 。m; 是 第 i 段 数据 段 ， 
ci-1 是 第 ;一 1 段 数据 段 对 应 的 密 文 。 
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(13) 计数 器 模式 


一 种 分 组 密码 操作 模式 ,计数 器 的 位 数 等 于 分 组 加 密 算法 要 求 的 明文 段 长 度 , 不 同 的 
明文 段 对 应 着 不 同 的 计数 器 ,加 密 算 法 只 对 计数 器 值 进行 加 密 , 加 密 运算 结果 和 明文 段 进 
行 异 或 运算 , 异 或 运算 结果 就 是 该 明文 段 对 应 的 密 文 。 

(14) KDC 

在 集中 式 密 钥 分 配 过 程 中 ,为 通信 双方 分 配 会 话 密 钥 的 机 构 。 

(15) Diffie-Hellman 密 钥 交 换算 法 

一 种 终端 之 间 通 过 交换 随机 数 实 现 密 钥 同 步 的 算法 。 交 换 的 随机 数 可 以 以 明文 的 方 
式 经 过 网 络 传输 。 

(16) RSA 

一 种 公开 密 钥 加 密 算 法 , 公 钥 PK=(e,n), 私 钥 SK=(d,n), 且 无 法 通过 nn 和 e 导 
出 d。 

(17) 数字 信封 

在 用 对 称 密 钥 加 密 算 法 对 数据 进行 加 密 / 解 密 运算 ,用 公开 密 钥 加 密 算法 对 密 钥 进行 
加 密 /解密 运算 的 应 用 方式 下 ,用 公开 密 钥 算法 和 公 钥 加 密 对 称 密 钥 加 密 算法 使 用 的 密 钥 
得 到 的 密 文 。 
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4.1 例题 解析 


【例题 4.1】 如 果 计算 检 错 码 的 算法 是 检验 和 ,假定 数据 D=“1234567”, 附 加 信息 C 
是 字符 串 中 每 一 个 字符 的 ASCII 码 按照 反 码 加 法 运算 规则 累加 后 的 结果 。 改 变数 据 , 且 
使 根据 改变 后 的 数据 计算 出 的 附加 信息 等 于 根据 数据 D=“1234567” 计 算出 的 附加 信息 。 

【解析 】 当 数据 D==“1234567” 时 ,附加 信息 C 二 00110001 十 00110010 十 00110011 十 
00110100 十 00110101 十 00110110 十 00110111==01101101。 

如 果 数 据 D' 二 “1334566”, 附加 信息 C' = 00110001 十 00110011 十 00110011 十 
00110100 十 00110101 十 00110110 十 00110110==01101101。 

由 此 可 见 , 如 果 检 错 码 算法 是 检验 和 ,对 于 数据 D=“*1234567”, 很 容易 找到 数据 D' = 
“1334566”,D 夫 D' ,但 检 错 码 是 相同 的 。 

【例题 4.2】 如 果 计 算 检验 和 的 算法 是 CRC, 假 定数 据 是 10110011 ,生成 函数 G(x)= 
XX! 十 XX 十 1 二 10011。 改 变数 据 , 且 使 根据 改变 后 的 数据 计算 出 的 附加 信息 等 于 根据 数据 
10110011 计算 出 的 附加 信息 。 

【解析 】 当 数 据 二 10110011 时 ,R(X)==X*XM(X)/G(X)==101100110000/10011= 
0100。 

如 果 数 据 二 00001101,R'(X)=X*XM (X)/G(X)==000011010000/10011==0100。 

由 此 可 见 , 如 果 检 错 码 算法 是 CRC, 对 于 数据 M(X) 二 10110011, 很 容易 找到 数据 
M'(X)=00001101,M(CX) 天 M'(X) ,但 检 错 码 是 相同 的 。 

【例题 4. 3】 用 户 A 的 RSA 公 钥 和 私 钥 对 为 PKA 和 SKA, 用 户 B 的 RSA 公 钥 和 
私 钥 对 为 PKB 和 SKB, 如 果 用 户 B 需 要 确定 数据 发 送 者 是 用 户 A, 而 用 户 A 只 希望 用 户 
B 能 读 取 数 据 ,用 户 A 如 何 封装 数据 ? 如 果 用 户 A 将 发 送 大 量 数据 给 用 户 B, 如 何 解决 
发 送 端 身份 鉴别 和 数据 加 密 的 问题 ? 

【解析 】 如 图 4. 1(a) 所 示 ,为 了 让 用 户 B 能 够 确定 数据 发 送 者 是 用 户 A, 用 户 A 需 
要 附加 数字 签名 Dsrka (MD(P))。 为 了 保证 只 有 用 户 B 才能 读 取 数据 ,需要 用 用 户 B 的 公 
钥 PKB 对 数据 进行 加 密 , 生 成 密 文 Epxs (P) 。 

由 于 RSA 加 密 过 程 比较 复杂 ,不 适合 对 大 量 数 据 进行 加 密 , 因 此 , 当 用 户 A 发 送 大 
量 数据 时 ,用 户 A 随机 生成 一 个 对 称 密 钥 KEY ,然后 用 对 称 密 钥 加 密 算法 DE 和 对 称 密 
钥 KEY 对 数据 加 密 , 生 成 密 文 DErey(P)。 为 了 保证 只 有 用 户 B 才能 读 取 数据 ,用 用 户 B 
的 公 钥 PKB 对 对 称 密 钥 KEY 进行 加 密 , 生 成 数字 信封 Eprs (KEY)。 由 于 只 有 用 户 B 才 
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能 解密 出 对 称 密 钥 KEY, 因 此 ,只 有 用 户 B 才能 解密 出 数据 ,数据 封装 过 程 如 图 4. 1(b) 
所 示 。 
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(a) 少量 数据 封装 过 程 (b) 大 量 数据 封装 过 程 








4.1 用 户 A 封 装 数据 过 程 


【例题 4. 4】 如 果 图 4. 2 中 的 终端 实体 3 需要 证 明 终 端 实体 1 与 其 公 钥 之 间 的 绑 定 
关系 ,给 出 终端 实体 1 发 送 给 终端 实体 3 的 证 书 链 ,并 简 述 根据 证 书 链 证 明 终端 实体 1 与 
其 公 钥 之 间 绑 定 关系 的 过 程 。 
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公开 密 钥 为 PKG 
根 认证 中 心 等 名 
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根 认证 中 心 地 区 认证 中 心 2 的 
公开 密 钥 为 PKRA2 
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i 证 书 
区 认证 中 心 认证 中 心 4 的 公开 
密 钥 为 PKCA4 
地 区 认证 中 心 2 签 名 
认证 中 心 1 认证 中 心 2 认证 中 心 认证 中 心 4 
证 书 
终端 实体 1 的 公开 
口 口 口 密 铀 为 PK1 
硬汉 而 到 名 
终端 实体 3 终端 实体 2 终端 实体 1 


图 4.2 分 层 认 证 结构 


【解析 】 终端 实体 1 发 送 的 证 书 链 如 下 : 根 认证 中 心 二 过 地 区 认证 中 心 2 之 之 ,地 区 
认证 中 心 2 过 过 认证 中 心 4 之 > ,认证 中 心 4 过 过 终端 实体 1 二 二 ,其 中 用 Y<<<X 二 > 表 
示 由 认证 中 心 了 签发 的 用 于 证 明 用 户 X 和 某 个 公 钥 之 间 绑 定 关系 的 证 书 。 

终端 实体 3 通过 有 公信 力 的 媒介 获取 根 认 证 中 心 的 公 钥 PKG, 同 时 验证 根 认 证 中 心 
公 钥 PKG 与 根 认证 中 心 之 间 的 绑 定 关系 。 
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终端 实体 3 通过 证 书 “ 根 认证 中 心 过 过 地 区 认证 中 心 2?” 获取 地 区 认证 中 心 2 的 
公 钥 PKRA2, 用 根 认 证 中 心 的 公 钥 PKG 验证 地 区 认证 中 心 2 的 公 钥 PKRA2 与 地 区 认 
证 中 心 2 之 间 的 绑 定 关系 。 

终端 实体 3 通过 证 书 * 地 区 认证 中 心 2 二 二 认证 中 心 4 之 之 ”获取 认证 中 心 4 的 公 钥 
PKCA4, 用 地 区 认证 中 心 2 的 公 钥 PKRA2 验证 认证 中 心 4 的 公 钥 PKCA4 与 认证 中 心 4 
之 间 的 绑 定 关系 。 

终端 实体 3 通过 证 书 “ 认 证 中 心 4 二 过 终端 实体 1 二 ”获取 终端 实体 1 的 公 钥 PK1， 
用 认证 中 心 4 的 公 钥 PKCA4 验证 终端 实体 1 的 公 钥 PK1 与 终端 实体 1 之 间 的 绑 定 

【例题 4.5】 假定 用 户 A 和 用 户 B 约定 采用 RSA 公开 密 钥 加 密 算 法 和 MD5 报 文摘 
要 算法 。 用 户 A 的 公 钥 是 PKA 、 私 钥 是 SKA。 用 户 B 的 公 钥 是 PKB、 私 钥 是 SKB。 假 
定 用 户 A 和 用 户 B 已 经 拥有 对 方 的 公 钥 。 回 答 以 下 问题 。 

(1) 如 果 用 户 A 用 对 称 密 钥 加 密 算法 加 密 向 用 户 B 发 送 的 数据 ,给 出 用 户 A 加 密 过 
程 和 用 户 了 解密 过 程 ,用 下 表示 对 称 密 钥 加 密 算法 ,用 D 表示 对 称 密 钥 解 密 算法 。 

(2) 给 出 用 户 A 对 发 送 给 用 户 B 的 数据 实施 数字 签名 的 过 程 和 用 户 B 验证 用 户 A 
数字 签名 的 过 程 。 用 RASE 表示 RSA 加 密 算法 ,用 RASD 表示 RAS 解密 算法 。 

(3) 如 果 用 户 A 用 用 户 名 用 户 A 和 口令 PASSA 作为 用 户 身份 标识 信息 ,给 出 用 户 
B 鉴别 用 户 A 身份 的 过 程 。 

(4) 如 果 用 户 A 和 用 户 B 通 过 证 书 和 私 钥 作为 用 户 身份 标识 信息 ,给 出 用 户 A 和 用 
户 了 通过 数字 签名 完成 双向 身份 鉴别 的 过 程 。 

【解析 】 

(1) 如 图 4. 3 所 示 , 假 定 用 户 A 发 送 给 用 户 B 的 数据 是 P, 用 户 A 随机 产生 对 称 密 
钥 K, 用 加 密 算法 E 和 对 称 密 钥 K 对 数据 M 进行 加 密 , 得 到 密 文 Ek(P)。 用 RSA 加 密 
算法 RSAE 和 用 户 B 的 公 钥 PKB 对 密 钥 K 进行 加 密 , 得 到 密 文 RSAEeka(K)。 用 户 A 
向 用 户 也 发 送 Ek (P) eRSAEpxs (K)。 

用 户 B 首先 用 私 钥 SKB 和 RSA 解密 算法 RSAD 对 密 文 RSAEeke(K) 进 行 解密 ,得 
到 密 钥 K(RSADse(RSAEee(K))=K) 。 然 后 用 解密 算法 D 和 密 钥 K 对 密 文 Ek(P) 进 
行 解密 ,得 到 数据 P(Dk(Ek(P))=P) 。 














































































































数据 数据 J | 
数据 | 一 ”| E ”| 密 广 密 广 D 数据 
本 RSAE 上 -| 人 上 -| RSAD _ 
PKB SKB 
(a) 加 密 过 程 (b) 解密 过 程 


图 4.3 加 密 /解密 过 程 


(2) 如 图 4. 4 所 示 , 假 定 用 户 A 发 送 给 用 户 B 的 数据 是 P, 用 户 A 生成 数字 签名 
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RASDsra (MD5(P))。 用 户 A 向 用 户 BB 发 送 P RASDsxa (MD5(P))。 




















相等 ，RASDsA(MD5(P) 
是 SKA 拥 有 者 的 数字 签名 
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图 4.4 数字 签名 实现 过 程 


PKA 


不 相等 ，RASDsxa(MD5(P)) 
不 是 SKA 拥 有 者 的 数字 签名 


用 户 B 只 要 证 明 RASEprs (RASDsra (MD5 (P))) = 二 MD5(P), 即 可 证 明 RASDsxa 
(MD5(P)) 是 用 户 A 对 数据 P 签署 的 数字 签名 。 
(3) 如 图 4.5 所 示 , 用 户 B 为 了 证 明 用 户 A 知道 口令 PASSA ,向 用 户 A 发 送 随机 数 
Rs, 用户 A 向 用 户 B 发 送 用 户 A | MD5(Rs | PASSA)。 只 要 用 户 B 的 计算 结果 MD5 
(Rs | PASSA) 和 用 户 A 发 送 的 MD5 (Rs | PASSA) 相 等 , 即 可 证 明 用 户 A 知道 口令 


PASSA。 


注册 用 户 库 





WRs 用 户 名 口令 





用 户 A PASSA 








回 用 户 A，MD5(RallPASSA) 
图 4.5 基于 用 户 名 和 口令 的 单 向 鉴别 过 程 


(4) 如 图 4.6 所 示 , 用 户 B 为 了 证 明 用 户 A 拥有 私 钥 SKA, 向 用 户 A 发 送 随机 数 
Rs ,用 户 A 生成 随机 数 RA 和 数字 签名 RASDsxa (MD5 (Rs Rs)), 向 用 户 B 发 送 Ra 省 
RASDsra(MD5(Ra | Ra))。 用 户 B 只 要 证 明 RASEpra (RASDska (MD5 (Ra 上 Rs)))= 
MD5(Ra | Ra) , 即 可 证 明 用 户 A 拥有 私 钥 SKA。 


证 书 





主体 B 的 公 钥 





是 PKB 


用 户 A 





Rs 


@R,, RASDscA(MD5(RAIRs)) 


证 书 
E 体 A 的 公 钥 

















CA 签名 











图 4.6 基于 证 书 和 私 钥 的 双向 鉴别 过 程 


@@RASDske(MD5(RA|RB) 





一 | 用 户 B 


是 PKA 








CA 等 名 





同样 ,用 户 B 为 向 用 户 A 证 明 拥 有 私 钥 SKB, 向 用 户 A 发 送 RASDsxs (MD5 (Ra | 
Rs))。 用 户 A 只 要 证 明 RASEprs (RASDsrs (MD5(Rs | Rs))) 二 MD5(Ra | Ra), 即 可 证 
明 用 户 B 拥 有 私 钥 SKB。 
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4.2 选择 题 分 析 


(1) 以 下 哪 一 项 是 检 错 码 不 能 用 于 完整 性 检测 的 原因 ? ( ) 
A. 检 错 码 算法 一 般 不 具有 抗 碰撞 性 
B. 检 错 码 是 用 于 检测 传输 错误 的 附加 信息 
C. 好 的 检 错 码 算法 使 检 错 码 可 以 检测 出 尽 可 能 多 的 传输 错误 
D. 检 错 码 算法 通常 具有 单 向 性 
答案 ; A 
【分 析 】 完整 性 检测 需要 能 够 检测 出 精心 设计 的 算 改 ,因此 , 抗 磁 撞 性 是 至 关 重要 
的 , 检 错 码 算法 一 般 不 具备 抗 碰撞 性 。 
(2) 关于 报 文摘 要 算法 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 具有 单 向 性 
B. 具有 抗 碰撞 性 
C. 生成 固定 长 度 的 报 文摘 要 
D. 不 同 报 文 有 着 不 同 的 报 文摘 要 
答案 : D 
【分 析 】 任意 长 度 的 报 文生 成 固定 长 度 的 报 文摘 要 ,肯定 存在 多 个 不 同 的 报 文 映射 
到 同一 报 文摘 要 的 情况 。 抗 碰撞 性 不 是 指 不 同 报 文 有 着 不 同 的 报 文摘 要 ,而 是 根据 现 有 
的 计算 能 力 , 找 不 出 跟 某 个 已 有 报 文 不 同 但 报 文摘 要 相同 的 另 一 个 报 文 。 
(3) 以 下 哪 一 项 表示 两 个 不 同 的 消息 具有 相同 的 消息 摘要 的 现象 ? (  ) 
A. 攻击 B. 碰撞 C. 散 列 D. 都 不 是 
答案 ; B 
【分 析 】 两 个 不 同 的 消息 具有 相同 的 消息 摘要 的 现象 称 为 碰撞 。 
(4) 关于 报 文摘 要 算法 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 报 文摘 要 长 度 越 大 , 抗 碰撞 性 越 好 
B. 报 文摘 要 长 度 越 大 ,计算 复杂 性 越 高 
C. 运算 过 程 越 复杂 , 单 向 性 和 抗 磁 撞 性 越 好 
D. 可 以 指定 任意 固定 值 作为 报 文摘 要 长 度 
答案 : D 
【分 析 】 报 文摘 要 长 度 必须 大 于 某 个 闵 值 才能 保证 报 文摘 要 算法 的 抗 碰撞 性 。 
(5) 关于 MD5 报 文摘 要 长 度 ,以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 64 B. 128 C. 256 D. 512 
答案 : B 
【分 析 】 128 位 报 文摘 要 长 度 是 综合 考虑 计算 复杂 性 和 抗 碰撞 性 与 单 向 性 的 结果 。 
(6) 关于 SHA-1 报 文摘 要 长 度 , 以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 128 B. 160 C. 256 D. 512 
答案 : B 
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【分 析 】 SHA-1 报 文摘 要 长 度 是 160 位 ,显然 比 MD5 有 着 更 好 的 抗 碰 撞 性 和 单 向 
性 。 但 算法 的 计算 复杂 性 也 大 于 MD5。 
(7) 信息 通过 网 络 进行 传输 的 过 程 中 ,存在 着 被 算 改 的 风险 ,为 了 解决 这 一 安全 隐 
患 ,通常 采用 以 下 哪 一 项 安全 防护 技术 ? ( ) 
A. 加 密 技术 B. 匿名 技术 
C. 消息 认证 技术 D. 数据 备份 技术 
答案 : C 
【分 析 】 消息 认证 技术 也 称 消息 鉴别 技术 ,可 以 检测 出 消息 传输 过 程 中 发 生 的 算 改 。 
(8) 关于 消息 鉴别 码 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 可 以 直接 通过 消息 计算 得 出 
B. 通过 密 钥 和 消息 计算 得 出 
C. 密 钥 是 发 送 端 和 接收 端 之 间 的 共享 密 钥 
D. 黑客 无 法 根据 算 改 后 的 消息 计算 出 消息 鉴别 码 
答案 : A 
【分 析 】 消息 鉴别 码 通常 是 对 消息 的 报 文摘 要 (也 称 消息 摘要 ) 进 行 加 密 运 算 后 得 到 
的 结果 ,因此 ,无 法 直接 通过 消息 计算 得 出 。 
(9) 关于 消息 鉴别 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 对 称 密 钥 既 可 提供 保密 性 又 可 提供 消息 鉴别 
B. 公开 密 钥 既 可 提供 消息 鉴别 又 可 提供 数字 签名 
C. 消息 鉴别 码 是 一 个 利用 密 钥 生成 的 附加 在 消息 之 后 的 、 固 定 长 度 的 数据 块 
D. 消息 鉴别 码 既 可 提供 消息 鉴别 又 可 提供 保密 性 
答案 : D 
【分 析 】 消息 鉴别 码 的 主要 作用 有 两 个 : 一 是 用 于 确定 消息 源 端 ;二 是 用 于 对 消息 
进行 完整 性 检测 。 消 息 鉴别 码 本 身 无 法 保证 消息 的 保密 性 。 
(10) 关于 消息 鉴别 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 传统 密码 只 能 提供 保密 性 ,不 能 用 于 消息 鉴别 
B. 公 钥 密码 既 能 提供 保密 性 ,又 能 用 于 消息 鉴别 
C. 消息 鉴别 是 验证 接收 到 的 消息 确实 来 自 真正 的 发 送 方 ,并 且 示 被 算 改 的 
过 程 
D. 哈 希 函数 ( 报 文摘 要 算法 ) 的 输入 是 可 变 大 小 的 消息 ,输出 是 固定 大 小 的 哈 
希 值 ( 报 文摘 要 ) 
答案 : A 
【分 析 】 传统 密码 是 指 对 称 密 钥 加 密 算 法 ,对 称 密 钥 加 密 算 法 可 以 用 于 消息 鉴别 。 
(11) 关于 HMAC-SHA-1-160, 以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 先 对 报 文 进行 SHA-1 运算 ,再 对 SHA-1 报 文摘 要 进行 加 密 运算 
B. HMAC 的 长 度 是 160 位 
C. 密 钥 的 长 度 一 般 要 求 大 于 160 位 
D. HMAC-SHA-1-160 的 安全 性 基于 密 钥 的 安全 性 
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答案 : A 
【分 析 】 HMAC-SHA-1-160 的 输入 是 密 钥 和 报 文 串 接 后 的 结果 ,输出 是 160 位 
SHA-1 报 文摘 要 。 
(12) 关于 完整 性 检测 ,以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 黑客 无 法 算 改 报 文 P 
B. 黑客 无 法 算 改 附加 信息 C 
C. 黑客 无 法 同时 算 改 报 文 P 和 附加 信息 C 
D. 黑客 无 法 通过 同时 算 改 报 文 P 和 附加 信息 C, 且 使 自 改 后 的 报 文 P 和 附加 
信息 C 能 够 保持 一 致 性 
答案 : D 
【分 析 】 无 法 通过 同时 算 改 报 文 P 和 附加 信息 C, 且 使 自 改 后 的 报 文 P 和 附加 信息 
C 能 够 保持 一 致 性 是 检测 出 精心 设计 的 自 改 的 前 提 。 
(13) 关于 消息 鉴别 ,以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. 接收 端 确认 是 发 送 端 X 发 送 了 消息 M 
B. 只 有 接收 端 和 发 送 端 知道 共享 密 钥 K 
C. 只 有 发 送 端 能 够 根据 报 文 M 生成 Ex (MD(M)) 
D. 发 送 端 和 接收 端 都 能 够 根据 报 文 M 生成 Ex (MD(M)) 
答案 : C 
【分 析 】 发 送 端 和 接收 端 都 能 够 根据 任意 报 文 M, 生 成 Ex (MD(M))。 因 此 , 报 文 
M 和 Ek (MD(M)) 只 能 用 于 接收 端 确认 是 具有 共享 密 钥 K 的 发 送 端 发 送 了 报 文 M。 
(14) 以 下 哪 一 项 是 银行 只 存储 密码 的 报 文摘 要 的 原因 ? ( ) 
A. 无 法 根据 密码 的 报 文摘 要 导出 密码 
B. 计算 密码 的 报 文摘 要 比 加密 密 码 简单 
C. 可 以 通过 密码 的 报 文摘 要 还 原 出 密码 
D. 通过 密码 的 报 文摘 要 还 原 出 密码 的 过 程 比 解密 密码 简单 
答案 : A 
【分 析 】 用 户 一 旦 设 定 密 码 后 , 则 密码 对 银行 是 不 可 见 的 ,因此 ,银行 员工 无 法 同时 
泄露 账号 和 密码 ,以 此 保证 账号 的 安全 。 
(15) 以 下 哪 一 项 是 用 RSA 生成 数字 签名 的 先决 条 件 ? ( ) 
A. 公 钥 和 私 钥 一 一 对 应 
B. 私 钥 只 有 签名 者 自己 知道 
C. 由 权威 机 构 证 明 公 钥 和 签名 者 之 间 的 关联 
D. 以 上 全 部 
答案 : D 
【分 析 】 A、B 和 C 三 个 选项 保证 数字 签名 的 唯一 性 和 第 三 方 的 可 证 明 性 ,这 两 项 特 
性 都 是 数字 签名 的 先决 条 件 。 
(16) 数字 签名 中 对 报 文 进 行 报 文摘 要 运算 是 为 了 确定 数字 签名 与 报 文 之 间 的 以 下 
哪 一 项 ? (  ) 
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A. 关联 性 B. 保密 性 C. 可 证 明 性 D. 以 上 全 部 
答案 : A 
【分 析 】 由 于 报 文摘 要 算法 的 抗 碰撞 性 ,使 报 文摘 要 和 报 文 之 间 的 关联 性 得 到 保证 。 
(17) 关于 数字 签名 ,以 下 哪 一 项 描述 是 正确 的 ? ( ) 

A. 数字 签名 是 在 所 传输 的 数据 后 附加 的 一 段 和 传输 数据 毫 无 关系 的 数字 

信息 

B. 数字 签名 能 够 解决 数据 的 加 密 传输 

C. 数字 签名 一 般 采 用 对 称 加 密 机 制 

D. 数字 签名 能 够 解决 自 改 、 伪 造 等 安全 性 问题 
答案 : D 
【分 析 】 数字 签名 本 身 可 以 作为 消息 鉴别 码 ,用 于 消息 的 完整 性 检测 。 
(18) 甲 收 到 一 份 来 自己 的 电子 订单 ,在 将 订单 中 的 货物 送 达到 乙 时 , 乙 和 否认 自己 曾 

经 发 送 过 这 份 订单 ,为 了 消除 这 种 纷争 ,采用 的 安全 技术 是 ( 。 )。 


A. 数字 签名 技术 B. 数字 证 书 
C. 消息 认证 码 D. 身份 认证 技术 
答案 : A 


【分 析 】 数字 签名 技术 使 发 送 端 无 法 否认 曾经 发 送 过 的 电子 订单 。 
(19) 数字 签名 最 常见 的 实现 方法 是 建立 在 以 下 哪 一 对 组 合 之 上 的 ?( ) 
A. 公 钥 密码 体制 和 对 称 密码 体制 
B. 对 称 密码 体制 和 报 文摘 要 算法 
C. 公 钥 密码 体制 和 报 文摘 要 算法 
D. 公证 系统 和 报 文摘 要 算法 
答案 : C 
【分 析 】 最 常见 的 数字 签名 是 建立 在 公 钥 密码 体制 和 报 文摘 要 算法 上 的 。 
(20) 关于 数字 签名 ,以 下 哪 一 项 描述 是 错误 的 ? 〈 ) 
A. 只 有 发 送 端 能 够 生成 数字 签名 
B. 接收 端 能 够 验证 数字 签名 
C. 数字 签名 与 特定 报 文 关联 
D. 任何 指定 报 文 只 能 生成 一 个 数字 签名 
答案 : D 
【分 析 】 数字 签名 的 唯一 性 指 的 是 只 能 由 私 钥 的 拥有 者 生成 数字 签名 。 对 于 指定 报 
文 P,Dsr (MD(P)) 和 Dsk(P) 都 是 针对 报 文 P 的 数字 签名 。 其 中 SK 是 私 钥 ,D 是 解密 算 
法 ,MD 是 报 文摘 要 算法 。 
(21) 以 下 选项 中 , 哪 一 项 不 是 报 文摘 要 算法 的 应 用 ? (。 ) 
A. 消息 鉴别 B. 数据 加 密 C. 数字 签名 D. 口令 保护 
答案 : B 
【分 析 】 报 文摘 要 算法 不 能 用 于 数据 加 密 。 
(22) 假定 DD 是 RSA 解密 算法 ,E 是 RSA 加 密 算法 ,SK 是 私 钥 ,PK 是 SK 对 应 的 公 
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钥 。 关 于 Dsk(MD(P) ) 作 为 数字 签名 的 原因 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 私 钥 SK 由 发 送 者 唯一 拥有 
B. 只 能 根据 报 文 P 生 成 MD(P) 
C. 通过 Epxr (Dsx (MD(P))) 二 MD(P) 验 证 数字 签名 
D. 公 钥 PK 是 随便 获取 的 
答案 : D 
【分 析 】 公 钥 PK 与 私 钥 SK 拥有 者 之 间 的 绑 定 关 系 必须 得 到 权威 机 构 证 明 , 因 此 ， 
通常 用 证 书 的 方式 由 权威 机 构 发 布 公 钥 PK 及 公 钥 PK 与 私 钥 SK 拥有 者 之 间 的 绑 定 
(23) 以 下 关于 数字 证 书 的 叙述 中 , 哪 一 项 是 错误 的 ? (  ) 
A. 证 书 通常 由 CA 颁发 
B. 证 书 携带 持 有 者 的 公开 密 钥 
C. 证 书 的 真实 性 可 以 通过 验证 证 书 的 签名 获知 
D. 证 书 通常 携带 CA 的 公开 密 钥 


答案 : D 
【分 析 】 证 书 中 携带 证 书 持 有 者 的 公开 密 钥 和 颁发 证 书 的 CA 的 数字 签名 ,但 不 会 
携带 CA 的 公开 密 钥 。 
(24) 以 下 信息 中 , 哪 一 项 不 包含 在 数字 证 书 中 ? ( ) 
A. 用 户 身 份 标识 B. 用 户 的 公 钥 
C. 用 户 的 私 钥 D. CA 的 数字 签名 
答案 : C 





【分 析 】 用 户 的 私 钥 只 能 由 用 户 掌握 ,不 能 出 现在 证 书 中 。 
(25) 以 下 哪 一 项 不 是 数字 签名 的 特性 ? ( ) 











A. 唯一 性 B. 与 特定 报 文 关联 性 
C. 可 证 明 性 D. 保密 性 
答案 : D 
【分 析 】 数字 签名 可 以 保证 所 签名 报 文 的 完整 性 和 不 可 抵赖 性 ,但 不 保证 所 签名 报 
文 的 保密 性 。 


(26) 以 下 哪 一 项 不 属于 PKI 的 功能 ?( ) 
A. 用 证 书证 明 公 钥 与 用 户 标识 信息 之 间 的 关联 
B. 管理 证 书 
C. 生成 公 钥 和 私 钥 对 
D. 分 配 共享 密 钥 

答案 : D 

【分 析 】 PKI 是 证 书 和 公 钥 管理 平台 。 

(27) 以 下 哪 一 项 不 是 验证 证 书 时 需要 验证 的 内 容 ? ( 。 ) 
A. 验证 有 效 性 , 即 证 书 是 否 在 证 书 的 有 效 使 用 期 之 内 
B. 验证 可 用 性 , 即 证 书 是 否 已 经 废除 
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C. 验证 真实 性 , 即 证 书 是 否 由 信任 的 CA 签发 
D. 验证 保密 性 , 即 证 书 是 否 由 CA 进行 了 加 密 
答案 : D 
【分 析 】 证 书 内 容 是 公开 的 ,不 需要 加 密 。 
(28) 在 PKI 中 ,不 属于 CA 的 任务 是 (  )。 


A. 证 书 的 颁发 B. 证 书 的 审批 
C. 证 书 的 备份 D. 证 书 的 加 密 
答案 : D 


【分 析 】 CA 不 对 证 书 进行 加 密 。 
(29) 关于 认证 中 心 和 证 书 , 以 下 哪 一 项 描述 是 错误 的 ?(  ) 
A. 认证 中 心 颁发 证 书 
B. 证 书 有 认证 中 心 的 数字 签名 
C. 认证 中 心 与 公 钥 之 间 的 绑 定 关系 由 上 一 级 认证 中 心 证 明 
D. 证 书 可 以 伪造 
答案 : D 
【分 析 】 认证 中 心 的 数字 签名 有 两 个 作用 : 一 是 用 于 对 证 书 进行 完整 性 检测 ;二 是 
证 明 该 证 书 确实 由 认证 中 心 颁发 。 因 此 ,认证 中 心 颁发 的 证 书 是 不 能 伪造 的 。 
(30) 关于 层次 结构 中 的 根 认证 中 心 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 公 钥 通过 有 公信 力 的 媒体 发 布 
B. 证 明 公 钥 与 根 认证 中 心 之 间 绑 定 关 系 的 证 书 由 根 认证 中 心 的 私 钥 签名 
C. 根 认证 中 心 可 以 作为 所 有 属于 该 层次 结构 的 实体 的 信任 锚 
D. 证 明 公 钥 与 根 认证 中 心 之 间 绑 定 关系 的 证 书 无 须 验 证 
答案 : D 
【分 析 】 由 于 证 明 公 钥 与 根 认证 中 心 之 间 绑 定 关系 的 证 书 由 根 认证 中 心 的 私 钥 签 
名 ,因此 ,需要 根 认证 中 心 的 公 钥 验 证 证 书 的 真 伪 。 但 根 认 证 中 心 的 公 钥 是 通过 有 公信 力 
的 媒体 发 布 的 ,不 是 由 证 书 给 出 的 。 
(31) 关于 实体 X 和 实体 Y 的 共同 信任 锚 , 以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 实体 X 和 实体 Y 都 已 经 验证 用 于 证 明 信 任 锚 的 公 钥 与 信任 锚 之 间 绑 定 关 
系 的 证 书 
B. 实体 X 和 实体 Y 的 认证 路 径 都 是 从 信任 锚 开 始 的 
C. 实体 X 和 实体 Y 的 认证 路 径 是 相同 的 
D. 根据 实体 X 和 实体 Y 的 认证 路 径 ,可 以 构建 以 信任 锚 为 根 认证 中 心包 含 实 
体 X 和 实体 Y 的 层次 结构 
答案 : C 
【分 析 】 除了 证 明 实体 X 和 实体 与 其 公 钥 之 间 绑 定 关系 的 证 书 由 同一 个 认证 中 
心 颁发 的 情况 外 ,实体 X 和 实体 Y 的 认证 路 径 是 不 同 的 。 
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4.3 名 词 解释 

(1) 报 文摘 要 

标识 某 个 任意 长 度 报 文 的 有 限 位 数 信息 ,而 且 这 种 标识 信息 就 如 同 报 文 的 指纹 一 样 ， 
具有 确认 性 和 唯一 性 。 

(2) 报 文摘 要 算法 

一 种 将 任意 长 度 的 报 文 转换 成 报 文摘 要 的 算法 , 且 该 算法 具有 单 向 性 和 抗 碰 撞 性 。 

(3) 单 向 性 

只 能 根据 报 文 X 求 出 MD(X) ,从 计算 可 行 性 讲 , 无 法 根据 标识 信息 h 得 出 报 文 X， 
且 使 MD(X)=h。 

(4) 抗 碰撞 性 

从 计算 可 行 性 而 言 ,对 于 任意 报 文 X, 无 法 找 出 另 一 个 报 文 Y,X 取 Y, 但 MD(X)= 
MD(Y) 。 

(5) MD5 

一 种 将 任意 长 度 的 报 文 转换 成 128 位 的 报 文摘 要 的 算法 。 

(6) SHA-1 

一 种 将 任意 长 度 的 报 文 转换 成 160 位 的 报 文摘 要 的 算法 。 

(7) 消息 鉴别 码 

根据 需要 进行 完整 性 检测 的 消息 计算 得 出 的 ,用 于 实现 消息 完整 性 检测 的 附加 信息 。 

(8) 消息 鉴别 

验证 消息 M 确实 是 X 发 送 的 过 程 。 

(9) 数字 签名 

某 个 报 文 的 附加 信息 ,该 附加 信息 既 能 够 证 明 签 名 者 的 真实 性 ,也 能 够 证 明 签 名 者 对 
该 报 文 的 确认 。 

(10) 认证 中 心 

具有 公信 力 的 权威 机 构 ,颁发 用 于 证 明 公 钥 与 某 个 实体 之 间 绑 定 关系 的 证 书 。 

(11) 证 书 

由 认证 中 心 数字 签名 的 、 用 于 证 明 公 钥 与 某 个 实体 之 间 绑 定 关系 的 文书 。 

(12) PKI 

一 种 用 于 管理 ,控制 证 书 全 过 程 的 基础 设施 ,包括 证 书 的 生成 更新、 撤销 和 交叉 认证 
机 制 等 。 

(13) 源 端 鉴别 


一 种 通过 在 报 文中 嵌入 发 送 端 标 识 信息 ,使 接收 端 能 够 验证 报 文 发 送 端的 技术 。 


接 入 控制 和 访问 控制 


5.1 例题 解析 
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【例题 5.1】 简 述 接 入 控制 设备 的 作用 。 

【解析 】 接 和 控制 设备 的 作用 主要 有 以 下 两 个 : 一 是 作为 普通 路 由 器 实现 接 人 网 络 
与 Internet 的 互 连 ; 二 是 完成 对 用 户 终端 的 接 和 人 控制 过 程 , 主 要 功能 包括 鉴别 接 人 用 户 身 
份 ,动态 分 配 IP 地 址 ,建立 用 于 指明 通 往 用 户 终端 的 传输 路 径 的 路 由 项 。 

【例题 5.2】 简 述 接 入 控制 和 身份 鉴别 之 间 的 关系 。 

【解析 】 接 入 控制 是 只 允许 主体 X 使 用 的 终端 接 入 网 络 的 控制 过 程 。 身 份 鉴别 是 
确定 主体 X 身份 的 过 程 。 通 常 在 身份 鉴别 过 程 中 建立 主体 X 与 某 个 标识 信息 之 间 的 绑 
定 关系 ,随后 ,通过 判别 是 否 携带 与 主体 X 绑 定 的 标识 信息 判定 是 否 是 主体 X 使 用 的 终 
端 发 送 的 信息 。 该 标识 信息 可 以 是 终端 的 MAC 地 址 或 IP 地址 ,这 种 情况 下 ,只 有 源 
MAC 地 址 是 与 主体 A 绑 定 的 MAC 地 址 的 MAC 帧 ,或 者 源 IP 地 址 是 与 主体 A 绑 定 的 
IP 地 址 的 IP 分 组 , 才 是 主体 X 使 用 的 终端 发 送 的 MAC 帧 或 IP 分 组 。 

【例题 5.3】 简 述 鉴别 者 和 鉴别 服务 器 需要 将 EAP 报 文 封装 成 RADIUS 消息 ,而 
不 是 直接 封装 成 IP 分 组 的 原因 。 

【解析 】 RADIUS 的 主要 功能 有 以 下 两 个 : 一 是 实现 鉴别 者 与 鉴别 服务 器 之 间 的 双 
向 身份 鉴别 ;二 是 实现 敏感 信息 鉴别 者 与 鉴别 服务 器 之 间 的 安全 传输 过 程 。IP 分 组 经 过 
互连网 传输 的 过 程 中 , 既 无 法 对 发 送 端 和 接收 端的 身份 进行 双向 鉴别 ,也 无 法 实现 IP 分 
组 发 送 端 和 接收 端 之 间 的 安全 传输 。 因 此 ,不 能 直接 将 EAP 报 文 封装 成 IP 分 组 ,然后 通 
过 互连网 实现 IP 分 组 鉴别 者 和 鉴别 服务 器 之 间 的 传输 过 程 。 

【例题 5. 4】 简 述 Kerberos 用 户 和 鉴别 服务 器 之 间 基 于 共享 密 钥 的 身份 鉴别 过 程 
和 防 中 间 人 攻击 机 制 。 

【解析 】 由 于 只 有 某 个 授权 用 户 和 鉴别 服务 器 才能 够 知道 该 授权 用 户 的 口令 ,而 共 
享 密 钥 Kc 是 通过 该 授权 用 户 的 口令 导出 的 ,因此 ,只 要 双方 能 够 导出 相同 的 共享 密 钥 
Kc ,用 户 和 鉴别 服务 器 的 身份 就 能 得 到 证 实 。 

如 果 黑 客 能 够 截获 用 户 发 送 给 鉴别 服务 器 的 身份 鉴别 请 求 ,并 将 用 户 名 由 IDe 改 为 
IDa ,将 封装 身份 鉴别 请 求 的 IP 分 组 的 源 IP 地 址 由 ADe 改 为 ADa 。 鉴 别 服务 器 生成 的 
票据 中 的 用 户 名 和 终端 地 址 也 将 改 为 IDa 和 ADa 。 但 由 于 黑客 无 法 导出 共享 密 钥 Kc , 因 
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而 无 法 获得 鉴别 服务 器 生成 的 用 户 与 票据 授权 服务 器 之 间 的 共享 密 钥 Ke,res ,因此 ,无 法 
生成 用 共享 密 钥 Kc,res 加 密 IDa 后 得 到 的 鉴别 信息 ,从 而 无 法 让 票据 授权 服务 器 确认 鉴 
别 服务 器 已 经 完成 对 黑客 的 身份 鉴别 过 程 。 

【例题 5. 5】 简 述 资源 访问 控制 原理 及 过 程 。 

【解析 】 配置 授权 用 户 身 份 标识 信息 ;为 每 一 个 授权 用 户 分 配 资源 访问 权限 ;一旦 用 
户 提出 资源 访问 请 求 ,首先 鉴别 该 用 户 身份 ,鉴别 用 户 身份 的 过 程 就 是 确定 该 用 户 提供 的 
身份 标识 信息 是 否 和 配置 的 某 个 授权 用 户 的 身份 标识 信息 相同 的 过 程 ;确定 用 户 提出 的 
资源 访问 请 求 是 否 符合 分 配 该 用 户 的 资源 访问 权限 ;在 确定 该 用 户 为 授权 用 户 且 具有 资 
源 访问 请 求 中 要 求 的 资源 访问 权限 后 ,完成 资源 访问 过 程 。 
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【例题 5. 6】 如 果 采 用 基于 证 书 和 私 钥 的 身份 鉴别 机 制 , 且 鉴别 身份 时 使 用 的 私 钥 
和 数字 签名 时 使 用 的 私 钥 相 同 , 会 有 什么 后 果 ? 

【解析 】 如 果 主 体 A 鉴别 身份 时 使 用 的 私 钥 和 数字 签名 时 使 用 的 私 钥 相同 ,主体 B 
可 以 利用 身份 鉴别 过 程 生成 主体 A 对 消息 P 的 数字 签名 。 如 图 5. 1 所 示 ,主体 B 生成 消 
息 P, 并 计算 出 消息 了 的 报 文摘 要 MD(P)。 然 后 主体 B 发 起 对 主体 A 的 身份 鉴别 过 程 ,向 
主体 A 发 送 MD(P) ,主体 A 为 了 证 明 拥有 私 钥 SKA, 生 成 并 向 主体 B 发 送 Dsra (MD(P))， 
其 中 D 是 RSA 解密 算法 。 主 体 了 根据 消息 P 和 Dsra (MD(P)) 可 以 证 明 主 体 A 向 主体 
B 发 送 了 消息 P, 且 对 消息 P 进行 数字 签名 。 















































DMD(P) 证 书 
> 主体 A 的 公 钥 
主体 A 主体 B 是 PKA 
CA 签名 
@DskA(MD(P) 


图 5.1 主体 B 利 用 身份 鉴别 过 程 获取 主体 A 的 数字 签名 


【例题 5.7】 假定 基于 共享 密 钥 的 接 入 控制 过 程 如 图 5. 2(a) 所 示 ,终端 A 只 要 能 够 
向 交换 机 证 明 自 己 知道 共享 密 钥 ,交换 机 则 允许 终端 A 接 入 , 即 允许 转发 以 MAC A 为 
源 或 目的 MAC 地 址 的 MAC 帧 ,但 如 图 5. 2(a) 所 示 的 基于 共享 密 钥 的 接 入 控制 过 程 容 
易 招 致 如 图 5.2(b) 所 示 的 中 间 人 攻击 过 程 。 如 果 黑 客 终端 能 够 截获 终端 A 与 交换 机 之 
间 传 输 的 MAC 帧 ,黑客 终端 可 以 将 终端 A 发 送 的 MAC 帧 算 改 为 黑客 终端 发 送 的 MAC 
帧 ,并 将 交换 机 发 送 给 它 的 随机 数 转 发 给 终端 A。 最 终结 果 是 导致 交换 机 允许 不 知道 共 
享 密 钥 的 黑客 终端 接 入 。 修 正如 图 5. 2(a) 所 示 的 基于 共享 密 钥 的 接 人 控制 过 程 , 使 黑客 


























MACA MAC H( 接 入 请 
口 一 人 7 Sk en 2 ne - 2 
峡 一 点 一 i 且 : MAC AEXR)) 己 “MAC HEX(R)) i 
终端 A 终端 A 黑客 终端 
MACA MACA MACH 
(a) 正常 接 入 控制 过 程 (b) 中 间 人 攻击 过 程 





图 5.2 基于 共享 密 钥 的 接 入 控制 过 程 
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终端 无 法 通过 如 图 5.2(b) 所 示 的 中 间 人 攻击 过 程 接 入 交换 机 。 

【解析 】 改进 后 的 基于 共享 密 钥 的 接 入 控制 过 程 如 图 5. 3 所 示 ,终端 A 接收 到 交换 
机 发 送 的 随机 数 R 后 ,将 随机 数 R 和 自己 的 MAC 地 址 MAC A 串 接 在 一 起 ,用 共享 密 钥 
K 对 串 接 结果 进行 加 密 , 生 成 密 文 Ek(R | MAC A) ,然后 把 密 文 发 送 给 交换 机 。 交 换 机 
用 共享 密 钥 解密 密 文 后 ,得 到 R | MAC A, 根 据 随机 数 R, 确 定 终端 A 具有 共享 密 钥 K， 
允许 转发 以 MAC A 为 源 或 目的 MAC 地 址 的 MAC 帧 。 

【例题 5.8】 假定 用 户 A 和 用 户 B 有 着 共享 密 钥 KAB, 用 户 A 和 用 户 B 通信 时 , 确 
定 双 方 身份 的 过 程 如 图 5.4 所 示 。 假 定 用 户 C 能 够 截获 用 户 A 发 送 给 用 户 B 的 鉴别 消 
息 , 给 出 用 户 C 让 用 户 A 误 认 为 是 用 户 B 的 过 程 ,并 给 出 如 图 5. 6 所 示 的 确定 双方 身份 
过 程 的 改进 版 。 








请 用 户 B 
局 A 交换 机 
Ex(RIMAC A) Ey Ekna(Na, R) 
终端 A 
MACA 
图 5.3 改进 后 的 基于 共享 图 5.4 相互 确认 通信 另 一 方 
密 钥 的 接 入 控制 过 程 身份 的 过 程 


【解析 】 当 用 户 C 截获 到 用 户 A 发 送 给 用 户 B 的 鉴别 消息 (A,Na) 时 ,冒充 用 户 B 
向 用 户 A 发 送 鉴 别 消息 (B,Na), 如 图 5.5 所 示 。 当 用 户 A 接收 到 鉴别 消息 (B, Na) 时 ， 
用 用 户 A 和 用 户 B 之 间 的 共享 密 钥 KAB 加 密 NA 和 用 户 A 随机 生成 的 会 话 密 钥 R, 然 
后 将 密 文 Ekap (Na ,R) 发 送 给 用 户 B。 用 户 C 截获 密 文 Ekap (Na ,R) 后 ,将 密 文 Ekag (Na,R) 
发 送 给 用 户 A, 用 户 A 误 认为 密 文 Ekxas (Na ,R) 是 用 户 BB 针对 鉴别 消息 (A,Na) 发 送 的 响应 
消息 ,确认 用 户 C 是 用 户 B。 




















AN 用 户 A 用 户 B 
B,NA 
EkAa(NA, R) A, ADA, NA 
Ekap(Na, R) Exag(B, ADs, A, ADa, Na, R) 
Er(NA) Er(A, AD,, B, ADs, NA) - 
图 5.5 用 户 C 冒 充 用户 B 的 过 程 图 5.6 改进 后 的 相互 确认 对 方 身份 的 过 程 


假定 用 户 A 终端 的 IP 地 址 是 ADA ,用 户 B 终 端的 IP 地 址 是 ADs ,改进 后 的 相互 确 
认 对 方 身份 的 过 程 如 图 5.6 所 示 , 用 户 A 发 送 给 用 户 B 的 鉴别 消息 中 包含 用 户 A 的 卫 
地 址 ADA ,用 户 B 发 送 的 针对 鉴别 消息 (A,ADA,NA) 的 响应 消息 是 : 用 用 户 A 和 用 户 B 
之 间 的 共享 密 钥 KAB 对 用 户 也 的 标识 符 B ,用户 也 终端 的 了 P 地 址 ADs、 用 户 A 的 标识 
符 A、 用 户 A 终端 的 IP 地址 ADA、 随 机 数 NA 和 用 户 也 随机 生成 的 会 话 密 钥 R 加 密 后 生 
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成 的 密 文 Eksp(B,ADs ,A,ADs ,Na,R)。 用 户 A 接收 到 密 文 Ekss(B,ADs,A,ADA,NA， 
R) 后 ,如 果 用 用 户 A 和 用 户 BB 之 间 的 共享 密 钥 KAB 解密 后 得 到 用 户 A 的 标识 符 A、 用 
户 A 终端 的 IP 地 址 ADs 和 随机 数 Na , 且 解 密 后 得 到 的 用 户 BB 终端 的 IP 地 址 ADs 与 圭 
装 密 文 的 IP 分 组 的 源 IP 地 址 相同 ,用 户 B 的 身份 得 到 证 实 。 然 后 ,用 解密 后 得 到 的 会 话 
密 钥 R 对 用 户 A 的 标识 符 A、 用 户 A 终端 的 IP 地 址 AD。 .用户 B 的 标识 符 B、 用 户 B 终 
端的 了 P 地 址 ADs 和 随机 数 NA 加 密 , 生 成 密 文 Es (B,ADs,A,ADs,Na), 将 密 文 Er (B， 
ADa,A,ADA,NA) 发 送 给 用 户 B。 用 户 B 接收 到 密 文 Ex(B,ADs,A,AD。, Na) 后 ,如 果 
用 会 话 密 钥 R 解密 后 得 到 用 户 B 的 标识 符 B、 用 户 BB 终端 的 IP 地 址 ADs 和 随机 数 NA， 
且 解 密 后 得 到 的 用 户 A 终端 的 IP 地 址 ADA 与 封装 密 文 的 IP 分 组 的 源 IP 地 址 相同 ,用 
户 A 的 身份 得 到 证 实 。 

【例题 5.9】 假定 用 户 B 鉴别 用 户 A 身份 的 过 程 如 图 5.7 所 示 , 其 中 PKA 是 用 户 A 
的 公 钥 ,A 和 B 是 用 户 A 和 用 户 B 的 标识 符 ,Ns 是 用 户 
B 选择 的 随机 数 。 请 回答 以 下 问题 。 

(1) 身份 鉴别 和 加 密 的 区 别 。 

(2) 简 述 Ns 的 选择 原则 和 作用 。 

(3) 简 述 用 户 A 回 送 MD(Ns) 的 理由 。 

(4) 图 5.7 所 示 的 用 户 BB 鉴 别 用 户 A 身份 的 过 程 存 
在 哪些 缺陷 ,请 给 出 解决 思路 。 图 5.7 用 户 B 鉴 别 用 户 A 

【解析 ] 身份 的 过 程 

(1) 身份 鉴别 是 验证 主体 的 真实 身份 与 其 所 声称 的 身份 是 否 符合 的 过 程 , 主 体 可 以 
是 用 户 .进程 和 主机 等 。 验 证 主体 X 的 身份 需要 做 到 以 下 两 点 : 一 是 接收 到 只 能 由 主体 
X 生成 的 信息 ;二 是 确认 接收 到 的 信息 是 主体 X 发 送 的 。 加 密 是 保证 只 允许 授权 访问 的 
主体 能 够 访问 到 某 个 信息 的 过 程 。 当 授权 访问 某 个 信息 的 主体 大 于 2 时 ,主体 无 法 通过 
访问 到 该 信息 证 明 自 己 的 身份 。 

(2) Ns 是 随机 数 ,具有 以 下 两 个 特征 : 一 是 不 会 重复 出 现 ;二 是 无 法 预测 。 保 证 每 
一 次 身份 鉴别 时 ,用 户 B 发 送 给 用 户 A 的 Ns 是 不 同 的 , 且 用 户 A 无 法 预测 下 一 次 身份 
鉴别 时 用 户 B 发 送 的 Ne, 以 此 避免 重 放 攻 击 。 

(3) 报 文摘 要 算法 具有 单 向 性 和 抗 碰撞 性 ,因此 ,用 户 A 回 送 MD(Ns), 既 可 以 让 用 
户 BB 确认 用 户 A 获得 Ne ,又 保证 其 他 主体 无 法 截获 Na 。 

(4) 虽然 MD(Ns) 只 能 由 用 户 A 生成 ,但 用 户 也 接收 到 的 MD(Ns) 可 能 是 其 他 主体 

发 送 的 。 假 如 用 户 C 能 够 截获 用 户 A 发 送 的 MD(Ns)， 











用 户 A 用 户 B) 并 将 截获 的 MD(Ns) 转 发 给 用 户 B, 使 用 户 了 将 用 户 C 
A 误 认为 用 户 A。 

EpkA(B, NB) 改进 后 的 用 户 B 鉴别 用 户 A 身份 的 过 程 如 图 5. 8 

| MPADAINs) .| 所 示 , 用 户 A 回 送 给 用 户 B 的 是 MD(AD | Ns), 其 中 








AD 是 用 户 A 使 用 的 终端 的 IP 地 址 。 当 用 户 B 接收 到 
图 5.8 改进 后 的 用 户 B 鉴 别 ”封装 MD(ADs | Ns) 的 IP 分 组 时 , 先 将 该 全 分 组 的 源 
用 户 人 A 身份 的 过 程 。 IP 地 址 和 随机 数 Ns 串 接 , 并 对 串 接 结果 计算 报 文摘 要 ， 
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然后 将 用 户 卫 计算 出 的 报 文摘 要 与 用 户 A 发 送 的 MD(ADA || Na ) 进 行 比较 ,如 果 相 等 ， 
则 表明 该 P 分 组 确实 是 用 户 A 所 发 的 。 


5.2 选择 题 分 析 


(1) 关于 网 络 环境 下 的 身份 鉴别 过 程 ,以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 主体 提供 类 似 身份 证 的 物理 证 件 
B. 主体 提供 指纹 
C. 主体 提供 视网膜 
D. 主体 提供 能 够 证 明 其 身份 , 且 可 以 通过 网 络 传输 的 主体 身份 标识 信息 
答案 : D 
【分 析 】 在 网 络 环境 下 ,主体 和 鉴别 者 相距 甚 远 ,无 法 确定 经 过 网 络 传输 的 身份 证 、 
指纹 .视网膜 等 扫描 件 与 主体 之 间 的 绑 定 关系 。 
(2) 以 下 哪 一 项 不 是 网 络 环境 下 的 主体 身份 标识 信息 ? ( ) 
A. 密 钥 B. 用 户 名 和 口令 ”C. 证 书 和 私 钥 D. 身份 证 号 码 
答案 : D 
【分 析 】 主体 身份 标识 信息 是 指 可 以 证 明 主 体 身份 的 信息 ,鉴别 者 不 能 根据 示 证 者 
能 够 提供 X 的 身份 证 号 码 就 确定 示 证 者 是 X。 
(3) 对 于 密 钥 是 主体 身份 标识 信息 的 情况 ,以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 只 有 主体 知道 密 钥 
B. 只 有 示 证 者 和 鉴别 者 知道 密 钥 
C. 主体 通过 向 鉴别 者 发 送 密 钥 证 明 自 己 知道 密 钥 
D. 只 有 鉴别 者 知道 密 钥 
答案 : B 
【分 析 】 由 于 密 钥 只 有 示 证 者 和 鉴别 者 知道 , 且 示 证 者 能 够 向 鉴别 者 证 明 自 己 知道 
密 钥 , 示 证 者 的 身份 可 以 因此 得 到 证 明 。 
(4) 对 于 用 户 名 和 口令 是 主体 身份 标识 信息 的 情况 ,以 下 哪 一 项 描述 是 正确 的 ? ( ”) 
A. 只 有 主体 知道 用 户 名 和 口令 
B. 只 有 示 证 者 和 鉴别 者 知道 用 户 名 和 口令 
C. 主体 通过 向 鉴别 者 发 送 MD( 口 令 ) 证 明 自 己 知道 口令 
D. 只 有 鉴别 者 知道 用 户 名 和 口令 
答案 : B 
【分 析 】 一 是 不 同 的 用 户 有 着 不 同 的 用 户 名 ,二 是 每 一 个 用 户 名 对 应 一 个 口令 。 由 
于 某 对 用 户 名 和 口令 只 有 示 证 者 和 鉴别 者 知道 , 且 示 证 者 能 够 向 鉴别 者 证 明 自 己 知道 该 
对 用 户 名 和 口令 , 示 证 者 的 身份 可 以 因此 得 到 证 明 。 主 体 既 需要 向 鉴别 者 发 送 用 户 名 和 
口令 ,也 不 能 简单 地 用 口令 的 报 文摘 要 (MD( 口 令 )) 隐 藏 口令 。 
(5) 对 于 证 书 和 私 钥 是 主体 身份 标识 信息 的 情况 ,以 下 哪 一 项 描述 是 错误 的 ? ( ”) 
A. 证 书证 明 私 钥 对 应 的 公 钥 与 主体 之 间 的 绑 定 关系 
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B. 公 钥 与 私 钥 一 一 对 应 
C. 鉴别 者 可 以 通过 公 钥 证 明 主 体 知道 私 钥 
D. 只 有 示 证 者 和 鉴别 者 知道 私 钥 
答案 : D 
【分 析 】 只 有 主体 知道 私 钥 ,鉴别 者 一 是 通过 证 书 获取 私 钥 对 应 的 公 钥 ,证 明 私 钥 对 
应 的 公 钥 与 主体 之 间 的 绑 定 关系 ,二 是 通过 公 钥 证 明 主体 知道 私 钥 。 
(6) 如 果 终 端 已 经 接 入 Internet, 以 下 哪 一 项 描述 是 错误 的 ? 〈 
A. 已 经 建立 终端 与 接 人 控制 设备 之 间 的 传输 路 径 
B. 已 经 为 终端 分 配 IP 地 址 
C. 接 人 控制 设备 已 经 创建 将 分 配给 终端 的 IP 地 址 和 终端 与 接 入 控制 设备 之 间 
的 传输 路 径 绑 定 在 一 起 的 路 由 项 
D. 终端 发 送 的 信息 中 包含 注册 用 户 标 识 信息 
答案 : D 
【分 析 】 在 身份 鉴别 过 程 中 ,使 用 终端 的 用 户 需 要 证 明 自 己 是 注册 用 户 。 一 旦 完成 
身份 鉴别 过 程 ,用 分 配给 终端 的 IP 地 址 和 已 经 建立 的 该 终端 与 接 人 控制 设备 之 间 的 传输 
路 径 唯 一 标识 该 注册 用 户 使 用 的 终端 发 送 的 数据 。 
(7) 以 下 哪 一 项 是 实现 接 入 控制 的 前 提 ? (  ) 
A. 建立 允许 接 入 的 授权 用 户 的 身份 标识 信息 列表 
B. 互 连 接 和 人 网 络 和 Internet 的 路 由 器 具有 接 人 控制 功能 
C. 鉴别 协议 能 够 实现 用 户 身 份 鉴别 
D. 以 上 全 是 
答案 : D 
【分 析 】 A 和 C 选项 是 实现 身份 鉴别 必需 的 ,B 选项 是 接 入 网 络 结构 所 要 求 的 。 
(8) 对 于 具有 802. 1X 接 入 控制 功能 的 设备 ,以 下 哪 一 项 描述 是 最 贴切 的 ? ( 。 ) 
A. 必须 是 路 由 器 B. 必须 是 交换 机 
C. 可 以 是 交换 机 D. 没有 交换 和 路 由 功能 的 设备 
答案 : C 
【分 析 】 802. 1X 是 以 太 网 端口 接 入 控制 协议 ,具有 以 太 网 端口 的 设备 都 可 有 具有 
802. 1X 接 入 控制 功能 。 
(9) 对 于 具有 PPP 接 入 控制 功能 的 设备 ,以 下 哪 一 项 描述 是 最 贴切 的 ? ( 。 ) 


A. 必须 是 路 由 器 B. 必须 是 交换 机 
C. 可 以 是 交换 机 D. 没有 交换 和 路 由 功能 的 设备 
答案 : A 
【分 析 】 具有 PPP 接 入 控制 功能 的 设备 同时 需要 具有 实现 接 入 网 络 和 Internet 互 
连 的 功能 。 


(10) 关于 接 人 控制 设备 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 是 互 连 接 入 网 络 和 Internet 的 路 由 器 
B. 具有 鉴别 接 入 用 户 身份 的 功能 
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C. 具有 为 接 入 终端 分 配 IP 地 址 的 功能 


D. 具有 发 起 建立 与 接 入 终端 之 间 的 传输 路 径 的 功能 
答案 : D 
【分 析 】 通常 由 接 入 终端 发 起 建立 接 入 终端 与 接 入 控制 设备 之 间 的 传输 路 径 。 
(11) 以 下 哪 一 项 是 接 和 人 控制 的 核心 任务 2 (  ) 
A. 为 终端 动态 分 配 IP 地 址 
B. 建立 接 入 终端 与 接 人 控制 设备 之 间 的 传输 路 径 
C. 动态 创建 指明 通 往 接 入 终端 的 传输 路 径 的 路 由 项 
D. 鉴别 启动 接 入 终端 接 入 Internet 过 程 的 用 户 的 身份 
答案 : D 
【分 析 】 接 入 控制 的 目的 是 只 允许 注册 用 户 接 入 Internet。 
(12) 关于 PPP, 以 下 哪 一 项 描述 是 最 贴切 的 ? (。 ) 
A. PPP 是 控制 接 入 控制 过 程 的 协议 
B. PPP 是 鉴别 用 户 身 份 的 协议 
C. PPP 是 为 终端 动态 分 配 IP 地 址 的 协议 
D. PPP 是 动态 建立 用 于 指明 通 往 接 入 终端 的 传输 路 径 的 路 由 项 的 协议 
答案 : A 
【分 析 】 PPP 只 是 一 种 控制 接 入 控制 过 程 的 协议 。 其 他 选项 的 功能 是 在 接 入 控制 
过 程 中 由 其 他 协议 协同 完成 的 功能 。 
(13) 以 下 哪 一 项 功能 与 PPP 作为 接 入 控制 协议 无 关 ? ( ) 
A. 建立 PPP 链 路 时 协商 鉴别 协议 和 网 络 控制 协议 
B. PPP 帧 作为 鉴别 协议 对 应 的 协议 数据 单元 的 载体 
C. PPP 帧 作为 IP 控制 协议 对 应 的 协议 数据 单元 的 载体 
D. 实现 PPP 帧 检 错 
答案 : D 
【分 析 】 D 选项 的 功能 是 链 路 层 协 议 应 该 具备 的 功能 ,不 是 因为 实现 接 入 控制 过 程 
而 增加 的 功能 。 
(14) 关于 PPP, 以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 基于 点 对 点 信道 的 链 路 层 协议 
B. PSTN 作为 接 人 网 络 时 的 接 和 人 控制 协议 
C. 通过 PPP over X 技术 实现 PPP 帧 经 过 多 种 不 同类 型 的 分 组 交换 路 径 的 传 
输 过 程 
D. 通用 的 链 路 层 协议 
答案 : D 
【分 析 】 链 路 层 协 议 与 传输 网 络 相关 ,没有 适用 于 所 有 传输 网 络 的 通用 链 路 层 协 议 。 
(15) 以 下 哪 一 项 不 是 PPP 链 路 建立 过 程 完成 的 功能 ? (。 ) 
A. 两 端 协商 与 PPP 帧 传输 过 程 相关 的 参数 
B. 两 端 协商 身份 鉴别 协议 
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C. 两 端 协商 网 络 控制 协议 
D. 两 端 协商 终端 IP 地 址 
答案 : D 
【分 析 】 D 选项 是 网 络 层 协议 配置 过 程 完成 的 功能 。 
(16) 以 下 哪 一 种 情况 不 是 导致 从 身份 鉴别 阶段 进入 PPP 链 路 终止 阶段 的 原因 ? 
K 
A. 一 端 发 起 物理 链 路 释放 过 程 B. 物理 链 路 上 检测 不 到 载波 信号 


C. 用 户 不 是 注册 用 户 D. IP 地 址 池 耗 尽 
答案 : D 
【分 析 】 身份 鉴别 阶段 不 分 配 IP 地 址 。IP 地 址 池 耗 尽 是 导致 从 网 络 层 协议 配置 阶 
段 进入 PPP 链 路 终止 阶段 的 原因 。 
(17) 以 下 哪 一 种 情况 不 是 导致 从 网 络 层 协议 配置 阶段 进入 PPP 链 路 终止 阶段 的 原 
因 ?( ) 
A. 一 端 发 起 物理 链 路 释放 过 程 B. 物理 链 路 上 检测 不 到 载波 信号 
C. 用 户 不 是 注册 用 户 D. IP 地 址 池 耗 尽 
答案 : C 


【分 析 】 用 户 不 是 注册 用 户 , 且 已 经 进入 网 络 层 协 议 配置 阶段 ,说 明 建立 PPP 链 路 
时 的 协商 结果 是 无 须 进行 身份 鉴别 过 程 ,因此 ,用 户 不 是 注册 用 户 不 会 在 网 络 层 协议 配置 
阶段 成 为 进入 PPP 链 路 终止 阶段 的 原因 。 
(18) 关于 EAP, 以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. EAP 报 文 可 以 封装 多 种 鉴别 协议 PDU 
B. 多 种 传输 网 络 对 应 的 链 路 层 帧 可 以 封装 EAP 报 文 
C. 鉴别 协议 PDU 封装 成 EAP 报 文 .EAP 报 文 封装 成 传输 网 络 对 应 的 链 路 
层 帧 
D. 不 存在 EAP over LAN 和 EAP over PPP 
答案 : D 
【分 析 】 当 EAP 报 文 封装 成 LAN 对 应 的 链 路 层 帧 时 , 称 为 EAP over LAN。 当 
EAP 报 文 封装 成 点 对 点 信道 对 应 的 PPP 帧 时 , 称 为 EAP over PPP。 
(19) 以 下 哪 一 种 不 是 EAP 定义 的 报 文 类 型 7 (。 ) 
A. 请 求 报 文 B. 响应 报 文 C. 成 功 报 文 D. 鉴别 报 文 
答案 : D 
【分 析 】 EAP 共 定 义 了 4 种 类 型 的 报 文 ,它们 分 别 是 请 求 、 响 应 、 成 功 和 失败 报 文 ， 
对 应 的 编码 分 别 是 1~4。 
(20) 关于 EAP over PPP, 以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 互 连 示 证 者 和 鉴别 者 是 点 对 点 信道 
B. PPP 帧 是 适合 点 对 点 信道 传输 的 链 路 层 帧 
C. 支持 多 种 鉴别 机 制 
D. 鉴别 协议 消息 直接 封装 成 PPP 帧 
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答案 : D 


【分 析 】 鉴别 协议 消息 封装 成 EAP 报 文 ,EAP 报 文 封装 成 PPP 帧 。 
(21) 关于 EAPOL 和 802.1X, 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 802. 1X 是 一 种 实现 LAN 环境 下 身份 鉴别 和 密 钥 管理 的 协议 
B. EAPOL 实现 LAN 环境 下 EAP 报 文 传输 过 程 
C. 鉴别 协议 消息 封装 成 EAP 报 文 ,EAP 报 文 封装 成 LAN 对 应 的 链 路 层 帧 
D. 802.1X 和 EAPOL 是 同义词 
答案 : D 
【分 析 】 802. 1X 是 一 种 实现 LAN 环境 下 身份 鉴别 和 密 钥 管 理 的 协议 ,EAPOL 只 
是 定义 EAP 和 LAN 之 间 的 绑 定 关系 。802. 1X 实现 身份 鉴别 时 ,将 鉴别 协议 消息 封装 
成 EAP 报 文 。 然 后 通过 EAPOL 实现 EAP 报 文 示 证 者 和 鉴别 者 之 间 的 传输 过 程 。 
(22) 以 下 哪 一 项 不 是 RADIUS 具有 的 功能 ? ( ) 
A. 实现 对 NAS 源 端 鉴别 
B. 加 密 用 户 身份 标识 信息 
C. 经 过 IP 网 络 实现 鉴别 协议 对 应 的 PDU 的 传输 过 程 
D. 建立 NAS 与 鉴别 服务 器 之 间 的 数据 传输 通路 


答案 : D 
【分 析 】 RADIUS 是 应 用 层 协 议 , 建 立 NAS 与 鉴别 服务 器 之 间 的 数据 传输 通路 不 
是 应 用 层 协 议 的 功能 。 
(23) 以 下 哪 一 项 不 是 鉴别 服务 器 对 应 每 一 个 NAS 需要 配置 的 信息 ? ( ) 
A. 客户 端 名 字 B. 客户 端 IP 地 址 
C. 共享 密 钥 D. 对 称 密 钥 加 密 算 法 
答案 : D 
【分 析 】 在 RADIUS 加 密 用 户 身 份 标识 信息 过 程 中 ,只 使 用 共享 密 钥 和 报 文摘 要 
算法 。 


(24) 关于 RADIUS 和 统一 鉴别 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 鉴别 者 中 不 存储 用 户 身份 标识 信息 
B. 由 鉴别 服务 器 统一 存储 用 户 身份 标识 信息 
C. 互 连 示 证 者 和 鉴别 者 是 传输 网 络 , 互 连 鉴别 者 和 鉴别 服务 器 是 互连网 
D. RADIUS 消息 直接 封装 成 传输 网 络 对 应 的 链 路 层 帧 
答案 : D 
【分 析 】 由 于 鉴别 者 和 鉴别 服务 器 之 间 可 以 是 互连网 ,互连网 端 到 端 传输 的 是 IP 分 
组 ,因此 ,RADIUS 消息 需要 封装 成 IP 分 组 后 ,再 封装 成 传输 网 络 对 应 的 链 路 层 帧 。 
(25) 关于 访问 控制 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 通过 身份 鉴别 确定 用 户 身份 
B. 为 每 一 个 用 户 授权 
C. 保证 每 一 个 用 户 只 能 访问 授权 访问 的 资源 
D. 身份 鉴别 和 授权 控制 只 能 由 资源 所 在 的 主机 完成 
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答案 : D 

【分 析 】 可 以 由 独立 的 鉴别 服务 器 完成 身份 鉴别 ,独立 的 授权 服务 器 完成 每 一 个 用 
户 授权 ,资源 所 在 主机 和 鉴别 服务 器 ,授权 服务 器 可 以 是 不 同 的 设备 。 

(26) 分 布 式 网 络 环境 下 的 Kerberos 协议 属于 以 下 哪 一 项 协议 类 型 ? ( ) 


A. 认证 协议 B. 加 密 协议 
C. 完整 性 检验 协议 D. 访问 控制 协议 
答案 : D 


【分 析 】 Kerberos 协议 用 于 实现 分 布 式 网 络 环境 下 的 访问 控制 过 程 。 
(27) 以 下 哪 一 项 不 是 对 Kerberos 票据 的 正确 描述 ? ( ; 
A. 票据 用 于 证 明 客户 对 某 台 服务 器 的 访问 权限 
B. 客户 无 法 解密 票据 
C. 票据 中 授权 客户 访问 的 服务 器 能 够 解密 票据 
D. 票据 用 于 证 明 发 送 票据 的 客户 的 身份 
答案 : D 
【分 析 】 票据 不 具有 源 端 鉴别 功能 。 客 户 端 通过 发 送 鉴别 信息 证 实 自己 的 身份 。 
(28) 关于 Kerberos 中 鉴别 服务 器 发 送 的 票据 ,以 下 哪 一 项 描述 是 错误 的 ? 〈 ) 
A. 票据 由 鉴别 服务 器 与 票据 授权 服务 器 之 间 的 共享 密 钥 加 密 
B. 通过 票据 证 明 某 个 用 户 的 身份 已 经 得 到 证 实 
C. 票据 中 含 用 户 名 和 用 户 终端 的 IP 地 址 
D. 票据 只 能 使 用 一 次 
答案 : D 
【分 析 】 票据 在 有 效 期 内 一 直 有 效 , 即 在 有 效 期 内 ,用 户 只 需 完成 一 次 身份 鉴别 
过 程 。 
(29) 关于 Kerberos 中 票据 授权 服务 器 发 送 的 票据 ,以 下 哪 一 项 描述 是 错误 的 ? ( ” ) 
A. 票据 由 票据 授权 服务 器 与 应 用 服务 器 之 间 的 共享 密 钥 加 密 
B. 通过 票据 证 明 某 个 用 户 的 权限 
C. 票据 中 含 用 户 名 和 用 户 终端 的 IP 地 址 
D. 票据 只 能 使 用 一 次 
答案 : D 
【分 析 】 票据 在 有 效 期 内 一 直 有 效 , 即 针对 同一 台 应 用 服务 器 ,在 有 效 期 内 只 需 完成 
一 次 权限 鉴别 过 程 。 
(30) 关于 Kerberos 中 的 应 用 服务 器 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 存储 用 户 需 要 访问 的 资源 
B. 用 于 票据 授权 服务 器 之 间 的 共享 密 钥 证 实用 户 访问 权限 
C. 可 以 实现 与 用 户 之 间 的 安全 传输 
D. 定义 每 一 个 用 户 的 权限 
答案 : D 
【分 析 】 每 一 个 用 户 的 权限 是 在 票据 授权 服务 器 中 定义 的 。 
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5.3 名 词 解释 

(1) 接 入 控制 

只 允许 授权 接 入 网 络 的 用 户 所 使 用 的 终端 接 入 网 络 的 控制 过 程 。 

(2) 访问 控制 

只 允许 每 一 个 用 户 访问 授权 该 用 户 访问 的 网 络 资源 的 控制 过 程 。 

(3) 接 入 控制 设备 

一 种 既 具 有 互 连 接 入 网 络 和 Internet 的 功能 ,又 具有 用 户 终端 接 入 控制 功能 的 设备 。 

(4) 身份 鉴别 

验证 主体 的 真实 身份 与 其 所 声称 的 身份 是 否 符合 的 过 程 。 

(5) PPP 

既是 基于 点 对 点 信道 的 链 路 层 协议 ,又 是 接 和 人 控制 协议 。 

(6) EAP 

一 种 和 应 用 环境 无 关 的 、 用 于 传输 鉴别 协议 消息 的 载体 协议 ,所 有 应 用 环境 和 鉴别 协 
议 都 和 这 种 载体 协议 绑 定 。 

(7) RADIUS 


一 种 可 以 实现 接 和 人 控制 设备 等 鉴别 者 与 鉴别 服务 器 之 间 双 向 身份 鉴别 ,以 及 用 户 身 
份 标识 信息 鉴别 者 与 鉴别 服务 器 之 间 安 全 传输 的 应 用 层 协议 。 

(8) Kerberos 

网 络 环境 下 的 访问 控制 协议 ,通过 单独 设置 身份 鉴别 服务 器 和 权限 鉴别 服务 器 ,使 用 
户 在 某 次 事务 中 只 需 完成 一 次 身份 鉴别 过 程 , 对 每 一 台 应 用 服务 器 只 需 完 成 一 次 授权 鉴 
别 过 程 。 
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6.1 例题 解析 


61.1 简 答 题解 析 


【例题 6.1】 简 述 IPSec 和 TLS 各 自 适用 的 场景 。 

【解析 】 IPSec 实现 两 个 终端 之 间 的 双向 身份 鉴别 和 安全 传输 。 安 全 传输 的 数据 类 
型 可 以 是 直接 作为 IP 分 组 净 荷 的 UDP、TCP、ICMP 报 文 等 。 

TLS 实现 两 个 进程 之 间 的 双向 身份 鉴别 和 安全 传输 。 安 全 传输 的 数据 类 型 可 以 是 
直接 作为 TCP 报 文 净 荷 的 应 用 层 消息 ,如 HTTP 消息 FTP 消息 等 。 

如 果 安 全 要 求 是 实现 两 个 终端 之 间 的 双向 身份 鉴别 和 IP 分 组 净 荷 的 安全 传输 过 程 ， 
则 采用 IPSec。 如 果 安 全 要 求 是 实现 两 个 进程 之 间 的 双向 身份 鉴别 和 TCP 报 文 净 荷 的 
安全 传输 过 程 , 则 采用 TLS。 

【例题 6.2】 对 照 TLS 工作 流程 ,回答 以 下 问题 。 

(1) 如 何 避 免 访 问 钓鱼 网 站 。 

(2) 如 何 保证 经 过 安全 连接 传输 的 数据 的 保密 性 和 完整 性 。 

(3) 如 何 实现 源 端 鉴别 。 

【解析 】 

(1) 服务 器 完成 证 书 申请 过 程 ,证书 中 给 出 服务 器 完全 合格 的 域名 与 公 钥 之 间 的 绑 
定 关系 。 浏 览 器 下 载 并 安装 服务 器 证 书 。 浏 览 器 鉴别 服务 器 身份 的 过 程 就 是 证 实 服务 器 
拥有 与 证 书 中 的 公 钥 对 应 的 私 钥 的 过 程 。 

(2) 浏览 器 和 服务 器 通过 握手 协议 约定 双方 使 用 的 加 密 算法 和 鉴别 算法 ,完成 加 密 
密 钥 鉴别 密 钥 的 生成 过 程 。 传 输 数 据 时 ,发 送 端 通过 鉴别 算法 和 鉴别 密 钥 生成 消息 鉴别 
码 (MAC) ,通过 加 密 算法 和 加 密 密 钥 完成 对 数据 的 加 密 过 程 。 接 收 端 通过 对 应 的 解密 算 
法 和 解密 密 钥 完成 对 密 文 的 解密 过 程 。 通 过 鉴别 算法 和 鉴别 密 钥 计算 出 MAC, 如 果 接 
收 端 计 算出 的 MAC 与 发 送 端 发 送 给 接收 端的 MAC 相同 , 则 表明 数据 传输 过 程 中 没有 
被 自 改 。 

(3) 由 于 只 有 浏览 器 和 服务 器 知道 鉴别 密 钥 , 当 一 方 接收 到 另 一 方 发 送 的 数据 , 且 证 
明 另 一 方 根据 鉴别 算法 和 鉴别 密 钥 计算 出 的 MAC 是 正确 的 时 , 另 一 方 的 身份 得 到 证 实 。 


612 设计 题解 析 
【例题 6.3】 如 果 图 6. 1 中 源 端 发 送 给 目的 端的 数据 经 过 公共 网 络 传 输 时 需要 
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保证 保密 性 和 完整 性 ,给 出 安全 关联 参数 ,并 给 出 数据 经 过 公共 网 络 传输 时 的 封装 
格式 。 


31 安全 关联 193.1.3.1 
200.1.1.1 202.1.1.1 


图 | Ci) [2 (mm) el 


SS 公共 网 络 路 由 器 R2 ee 


图 6.1 IP Sec 应 用 场景 























【解析 】 路 由 器 R1 和 路 由 器 R2 配置 信息 如 下 。 

(1) 与 建立 IKE 安全 关联 相关 的 配置 信息 

身份 鉴别 机 制 : 证 书 十 私 钥 。 

加 密 算法 : 3DES。 

报 文摘 要 算法 : MD5 。 

密 钥 分 发 协议 : Diffie-Hellman ,选择 组 号 为 2 的 参数 。 

(2) 与 建立 IP Sec 安全 关联 相关 的 配置 信息 

安全 协议 : ESP。 

加 密 算法 : AES。 

MAC 算法 : HMAC-MD5-96。 

(3) IP 分 组 分 类 标准 

路 由 器 R1 的 IP 分 组 分 类 标准 

源 IP 地 址 : 193.1.1.1。 

目的 IP 地 址 :; 193.1.3.1。 

协议 : GRE。 

(4) 路 由 器 R2 的 IP 分 组 分 类 标准 

源 IP 地 址 : 193.1.3.1。 

目的 IP 地 址 : 193.1.1.1。 

协议 类 型 : GRE。 

封装 过 程 如 图 6.2 所 示 。 

【例题 6. 4】 域名 服务 器 设置 如 图 6. 3 所 示 ,假定 终端 A 将 域名 服务 器 dns. a. com 
作为 本 地 域名 服务 器 ,a. com 域 对 应 的 公 钥 和 私 钥 分 别 是 PKAC 和 SKAC。b. com 域 对 
应 的 公 钥 和 私 钥 分 别 是 PKBC 和 SKBC。com 域 对 应 的 公 钥 和 私 钥 分 别 是 PKC 和 SKC。 
给 出 实现 安全 的 域名 解析 过 程 所 需 的 配置 和 终端 A 安全 地 解析 域名 www. b. com 的 
过 程 。 

【解析 】 各 个 域名 服务 器 配置 的 资源 记录 如 表 6.1~6.3 所 示 , 终 端 A 配置 a com 
域 对 应 的 公 钥 PKAC, 且 公 钥 PKAC 与 a. com 域 之 间 的 绑 定 关系 已 经 得 到 验证 。 

安全 的 域名 解析 过 程 如 图 6. 4 所 示 , 本 地 域名 服务 器 接收 到 终端 A 发 送 的 完全 合格 
的 域名 www. b. com 的 解析 请 求 后 ,首先 在 数据 库 中 检索 名 字 为 www. b. com、 类 型 为 A 
的 资源 记录 。 如 果 不 存在 这 样 的 资源 记录 , 则 检索 名 字 为 b. com、 类 型 为 NS 的 资源 记 
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ESP 首 部 ESP 净 荷 ESP 尾 部 
Kl AES 
1 
ESP ESP 净 荷 ESP 尾 部 
首部 密 文 密 文 
1 
K2—™ HMAC-MD5 
源 IP 目的 PP 协议 96 位 
地 址 ”地 址 ”类 型 
ESP ESP 净 荷 ESP 尾 部 | ESP 
193.1.1.1|193.1.3.1| 50 | 首部 | 密 广 密 文 MAC 
eco 
外 层 IP 首 部 
图 6.2 封装 过 程 
a.com 域 域名 服务 器 Web 服 务 器 
dns.a.com Www.b.com 
192.1.13 192.1.2.3 
Web 服 务 器 






WWW.a.com 
192.1.1.2 














com 域 域名 服务 器 b.com 域 域名 服务 器 
dns.com dns.b.com 
192.12.7 192.1.3.7 


图 6.3 域名 服务 器 设置 方式 
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录 。 如 果 不 存在 这 样 的 资源 记录 , 则 检索 名 字 为 com、 类 型 为 NS 的 资源 记录 。 根 据 资源 
记录 过 b. com,NS,dns. com 之 和 过 dns. com,A,192.1.2.7 记 确定 com 域 域名 服务 器 ,向 


com 域 域名 服务 器 发 送 完 全 合格 的 域名 www. b. com 的 解析 请 求 。 
表 6.1 a. com 域 域名 服务 器 配置 的 资源 记录 












































































名 字 类 型 值 
b. com NS dns. com 
Www. a. com A 192. 1,1.2 
dns. com A 192.1.2.7 
com DNSKEY PKC 
表 6.2 com 域 域名 服务 器 配置 的 资源 记录 
名 字 类 型 值 
au. com NS dns. a. com 
b. com NS dns. b. com 
dns. a. com A 192.1.1.3 
dns. b. com A 192.1.3.7 
a. Com DNSKEY PKAC 
b. com DNSKEY PKBC 
表 6.3 b. com 域 域名 服务 器 配置 的 资源 记录 
名 字 类 型 值 
a. Com NS dns. com 
www. b. com A 192. 1.2.3 
dns. com A 192.1.2.7 
com DNSKEY PKC 
a.com 域 域名 服务 器 
Dwww.b.com @www.b.com 
G@wwwbedul @dns.b.com 192.1.3.7 
mi 国 :2 轩 
终端 com 域 域名 服务 器 
b.com 域 域名 服务 只 





图 6.4 安全 的 域名 解析 过 程 
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com 域 域名 服务 器 依次 检索 名 字 为 www. b. com、 类 型 为 A 的 资源 记录 ;名 字 为 
b. com 类 型 为 NS 的 资源 记录 。 根 据 资 源 记 录 达 b. com, NS, dns. b. com 记 和 三 dns. b. 
com,A,192. 1. 3.7 之 确定 b. com 域 域名 服务 器 ,向 本 地 域名 服务 器 回 送 b. com 域 域名 服 
务 器 的 IP 地 址 192.1.3.7、b. com 域 的 公 钥 PKBC 和 用 com 域 的 私 钥 SKC 产生 的 数字 
签名 Dskc(SHA-1((dns. b. com 192.1.3.7) | (b.com PKBC))) 。 

本 地 域名 服务 器 接收 到 com 域 域名 服务 器 的 DNS 响应 消息 后 ,首先 用 com 域 的 公 
钥 PKC 验证 com 域 域名 服务 器 的 数字 签名 ,记录 b. com 域 的 公 钥 PKBC。 然 后 向 
b. com 域 域名 服务 器 发 送 完全 合格 的 域名 www. b. com 的 解析 请 求 。b. com 域 域名 服务 
器 向 本 地 域名 服务 器 回 送 完全 合格 的 域名 为 www. b. com 的 Web 服务 器 的 IP 地 址 192. 
1.2.3 和 用 b. com 域 的 私 钥 SKBC 产生 的 数字 签名 Dskgc (SHA-1(www. b. com 192. 1. 
2.3))。 本 地 域名 服务 器 用 com 域 域名 服务 器 发 送 的 b. com 域 的 公 钥 PKBC 验证 b. com 
域 域名 服务 器 的 数字 签名 。 

本 地 域名 服务 器 完成 对 b. com 域 域名 服务 器 发 送 的 解析 结果 的 源 端 鉴 别 和 完整 性 
检测 后 ,向 终端 A 发 送 解 析 结 果 。 本 地 域名 服务 器 向 终端 A 发 送 解析 结果 时 ,用 a. com 
域 的 私 钥 SKAC 产生 解析 结果 的 数字 签名 Dsrac (SHA-1(www. b. com 192.1.2.3))。 终 
端 A 用 a.com 域 的 公 钥 PKAC 验证 a. com 域 域名 服务 器 的 数字 签名 。 

【例题 6.5】 对 照 SET 应 用 系统 ,设计 微 信 支 付 的 工作 流程 。 

【解析 】 以 刷卡 支付 和 扫描 支付 为 例 ,讨论 微 信 支付 的 工作 流程 。 微 信 支 付 应 用 系 
统 如 图 6.5 所 示 , 微 信 客 户 端 , 微 信 支付 系统 和 商家 后 台 系 统 通过 互连网 连接 在 一 起 。 商 
家 门店 通过 商家 专用 网 络 与 商家 后 台 系 统 连 接 在 一 起 。 微 信 支 付 系统 通过 支付 网 络 与 各 
个 微 信 支付 系统 支持 的 银行 连接 在 一 起 。 








付 系统 
图 6.5 微 信 支 付 应 用 系统 


微 信 客 户 端 登录 微 信服 务 器 端的 过 程 如 图 6. 6 所 示 。 微 信 客 户 端 完成 注册 过 程 后 ， 
下 载 微 信服 务 器 端 证 书 ,证 书 中 给 出 微 信服 务 器 端的 公 钥 PKR。 因此 , 微 信 客 户 端 发 送 的 
登录 请 求 是 用 微 信服 务 器 端的 公 钥 PK 加 密 登 录 信息 后 生成 的 密 文 RSAEpx (账号 ‖ 登 


第 6 章 安全 协议 \@/ 


录 密 码 | K | NONCE)。 其 中 ,RASE 是 RSA 加 密 算法 ,PK 是 微 信服 务 器 端 公 钥 , 账 号 
是 微 信和 账号 ,K 是 微 信 客 户 端 随机 生成 的 对 称 密 钥 ,NONCE 是 用 于 验证 微 信 服务 器 端 身 
份 的 随机 数 。 微 信服 务 器 端 用 PK 对 应 的 私 钥 SK 还 原 出 明文 , 即 RSADsk (RSAEpk ( 账 
号 |‖ 登录 密码 eK NONCE)) 王 账号 ‖ 登录 密码 | K 上 NONCE, 其 中 RSAD 是 RSA 解 
密 算法 。 如 果 确 定 账号 和 登录 密码 有 效 , 则 完成 登录 过 程 , 同 时 向 微 信 客户 端 回 送 一 个 用 
对 称 密 钥 K 加 密 随机 数 NONCE 后 生成 的 密 文 AESEk (NONCE) ,其 中 AESE 是 AES 
加 密 算法 。 如 果 微 信 客户 端 用 AES 解密 算法 AESD 和 对 称 密 钥 K 解密 密 文 后 得 到 的 明 
文 是 NONCE, 则 表明 微 信服 务 器 端 成 功 获得 对 称 密 钥 K 和 随机 数 NONCE, 以 此 证 明 微 
信服 务 器 端 拥 有 PK 对 应 的 私 钥 SK, 微 信服 务 器 端的 身份 得 到 证 实 。 


和信 
交 服务 器 六 


下 RSAEpxk( 账 号 | 登录 密码 ||KIINONCE) 
- AESEk(NONCE) 


图 6.6 微 信 登录 过 程 











微 信和 刷卡 支付 工作 流程 如 图 6. 7 所 示 , 当 用 户 在 商家 门店 完成 商品 选 购 过 程 后 ,商家 
门店 生成 订货 信息 ,其 中 包括 订单 号 ,商品 目录 、 单 价 和 商品 总 价 等 。 如 果 用 户 选择 微 信 
刷卡 支付 , 则 需要 完成 微 信 “ 我 >“ 钱包 ”>“ 刷 卡 ” 操 作 过 程 。 完 成 上 述 操作 过 程 后, 微 信 
客户 端 向 微 信 支 付 系 统 发 送 微 信 授 权 码 生成 请 求 , 微 信 支 付 系统 接收 到 该 微 信 授 权 码 生 
成 请 求 后 ,生成 一 个 微 信 授 权 码 ,建立 微 信 授 权 码 与 微 信 账 号 之 间 的 绑 定 ,然后 将 微 信 授 
权 码 发 送 给 微 信 客 户 端 , 微 信 客户 端 上 显示 微 信 授 权 码 的 条 码 和 二 维 码 。 商 家 门店 扫描 
微 信 客户 端 上 的 条 码 或 二 维 码 ,生成 并 向 商家 后 台 系统 发 送 支付 请 求 ,支付 请 求 将 商家 账 
号 ,订货 信息 与 微 信 授 权 码 绑 定 在 一 起 。 商 家 后 台 系统 对 支付 请 求 进行 数字 签名 ,然后 将 





微 信 支 
微 信 商家 了 
用 户 客户 中 [让 商家 后 人 天 银行 
人 上 太 妆 目 
Q@ 生 成 并 展示 
| 订货 信息 
@ 生 成 并 展示 
微 信 授 权 码 @ 上 生成 支 





| 估计 | @ 交 人 请 求 | 到 付 水 


二 @@ 支 付 结果 
结 : 生生 
@ 支 付 结果 |。 支付 结果 。 支付 结 果 一 一 一 





| 。 发 货 























图 6.7 微 信和 刷卡 支付 工作 流程 


数字 签名 后 的 支付 请 求 发 送 给 微 信 支付 系统 。 微 信 支 付 系统 完成 支付 请 求 源 端 鉴别 和 完 
整 性 检测 后 ,根据 微 信 授 权 码 确 定 用 户 账 号 ,根据 用 户 账 号 和 商家 账号 绑 定 的 银行 卡 , 请 
求 银行 完成 支付 过 程 。 银 行 完成 支付 过 程 后 ,向 微 信 支 付 系统 发 送 支付 结果 , 微 信 支付 系 
统 对 支付 结果 进行 数字 签名 ,然后 将 数字 签名 后 的 支付 结果 发 送 给 商家 后 台 系 统 , 支 付 结 
果 中 包括 金额 .用户 账号 .商家 账号 和 订单 号 等 信息 。 商 家 后 台 系 统 完成 支付 结果 源 端 鉴 
别 和 完整 性 检测 后 ,向 商家 门店 发 送 支付 成 功 的 信息 。 微 信 支 付 系 统 同时 也 向 微 信 客户 
端 发 送 支付 结果 。 商 家 门店 接收 到 支付 成 功 的 信息 后 ,向 用 户 提交 商品 。 

需要 对 以 下 几 点 进行 说 明 : 一 是 微 信 客 户 端 与 微 信服 务 器 端 之 间 传 输 的 信息 都 用 对 
称 密 钥 K 和 AES 加 密 算法 AESE 进行 加 密 ; 二 是 由 商家 后 台 系统 对 发 送 的 支付 请 求 完 
成 以 下 操作 。 首 先 用 商家 的 私 钥 HSK 生成 数字 签名 ,然后 随机 生成 对 称 密 钥 HK, 并 用 
AES 加 密 算法 和 对 称 密 钥 HK 对 支付 请 求 加 密 , 最 后 用 微 信 支 付 系 统 的 公 钥 PK 和 RAS 
加 密 算法 对 对 称 密 钥 HK 加 密 , 生 成 数字 信封 RASEpx (HK)。 商 家 后 台 系统 发 送 给 支付 
系统 的 是 : 支付 请 求 密 文 AESEnx (支付 请 求 ) | 数字 签名 RASDnsr (MD5( 支 付 请 求 )) | 
数字 信封 RASEpr (HK) ;三 是 由 微 信 支 付 系统 对 发 送 的 支付 结果 完成 以 下 操作 ,首先 用 
微 信 支 付 系 统 的 私 钥 SK 生成 数字 签名 ,然后 随机 生成 对 称 密 钥 ZK ,并 用 AES 加 密 算法 
和 对 称 密 钥 ZK 对 支付 结果 加 密 , 最 后 用 商家 后 台 系 统 的 公 钥 HPK 和 RAS 加 密 算法 对 
对 称 密 钥 ZK 加 密 , 生 成 数字 信封 RASEek (ZK)。 微 信 支 付 系统 发 送 给 商家 后 台 系 统 的 
是 : 支付 结果 密 文 AESEzx (支付 结果 ) | 数字 签名 RASDsk (MD5( 支 付 结果 )) | 数字 信 
封 RASEuek(ZK) 。 

微 信 扫 描 支付 工作 流程 如 图 6. 8 所 示 , 当 用 户 在 商家 门店 完成 商品 选 购 过 程 后 ,商家 
门店 生成 订货 信息 ,其 中 包括 订单 号 .商品 目录 .单价 和 商品 总 价 等 。 商 家 门店 将 订货 信 
息 发 送 给 商家 后 台 系统 ,商家 后 台 系 统 生成 预支 付 请 求 , 预 支付 请 求 中 包含 商家 账号 和 订 
货 信息 等 。 商 家 后 台 系 统 对 预支 付 请 求 进行 数字 签名 ,然后 将 数字 签名 后 的 预支 付 请 求 
发 送 给 微 信 支 付 系统 。 微 信 支 付 系 统 完成 预支 付 请 求 源 端 鉴别 和 完整 性 检测 后 ,生成 预 
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图 6.8 微 信 扫描 支付 工作 流程 
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支付 交易 链接 ,然后 将 预支 付 交易 链接 发 送 给 商家 后 台 系 统 。 商 家 后 台 系 统 生 成 预支 付 
交易 链接 对 应 的 二 维 码 ,将 预支 付 交 易 链接 对 应 的 二 维 码 发 送 给 门店 系统 。 门 店 系统 展 
示 预 支付 交易 链接 对 应 的 二 维 码 。 用 户 用 微 信 “ 扫 一 扫 ” 扫 描 商 家 门店 展示 的 预支 付 交易 
链接 对 应 的 二 维 码 , 然 后 将 二 维 码 扫描 结果 发 送 给 微 信 支 付 系统 , 微 信 支 付 系 统 向 微 信 客 
户 端 发 送 支 付 验证 ,要 求 用 户 输入 支付 密码 。 用 户 输入 支付 密码 后 , 微 信 客 户 端 向 微 信 支 
付 系统 发 送 支付 授权 。 微 信 支 付 系统 确定 征 信 客户 端 具有 支付 权限 后 ,根据 用 户 账号 和 
商家 账号 绑 定 的 银行 卡 , 请 求 银行 完成 支付 过 程 。 银 行 完成 支付 过 程 后 ,向 微 信 支付 系统 
发 送 支付 结果 。 微 信 支 付 系统 对 支付 结果 进行 数字 签名 ,然后 将 数字 签名 后 的 支付 结果 
发 送 给 商家 后 台 系 统 , 支 付 结果 中 包括 金额 .用户 账号 .商家 账号 和 订单 号 等 信息 。 商 家 
后 台 系统 完成 支付 结果 源 端 鉴别 和 完整 性 检测 后 ,向 商家 门店 发 送 支付 成 功 的 信息 , 征 信 
支付 系统 同时 也 向 微 信 客户 端 发 送 支 付 结果 。 商 家 门店 接收 到 支付 成 功 的 信息 后 ,向 用 
户 提交 商品 。 

【例题 6.6】 对 照 HTTPS, 设 计 支 付 宝 的 工作 流程 。 

【解析 】 支付 宝应 用 系统 如 图 6. 9 所 示 ,与 微 信 支 付 应 用 系统 相似 。 对 于 移动 支付 ， 
智能 手机 需要 安装 支付 宝 App, 当 需要 进行 移动 支付 时 ,支付 宝 App 需要 登录 支付 宝 网 
站 。 在 支付 宝 App 登录 和 访问 支付 宝 网 站 过 程 中 ,支付 宝 App 与 支付 宝 网 站 之 间 通 过 
HTTPS 实现 支付 宝 网 站 的 身份 鉴别 过 程 和 数据 支付 宝 App 与 支付 宝 网 站 之 间 的 安全 传 
输 过 程 ,如 图 6. 10 所 示 。 
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图 6.9 支付 宝应 用 系统 
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图 6.10 登录 访问 支付 宝 网 站 过 程 
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6.2 选择 题 分 析 
(1) 以 下 哪 一 项 不 是 引发 安全 协议 的 原因 ? ( ) 
A. 冒充 IP 地 址 B. 嗅 探 信息 
C. 算 改 信息 D. 截断 信息 传输 路 径 


答案 : D 
【分 析 】 存在 多 种 截断 信息 传输 路 径 的 方式 ,包括 物理 破坏 方式 ,大 部 分 截断 信息 传 
输 路 径 的 方式 不 是 通过 引入 安全 协议 可 以 解决 的 。 
(2) 以 下 哪 一 项 不 属于 IPv4 中 TCP/ 了 协议 栈 的 安全 缺陷 ? (  ) 
A. 没有 为 通信 双方 提供 良好 的 数据 源 鉴别 机 制 
B. 没有 为 数据 提供 较 强 的 完整 性 保护 机 制 
C. 没有 提供 复杂 网 络 环境 下 的 端 到 端 可 靠 传输 机 制 
D. 没有 为 数据 提供 保密 性 保护 机 制 
答案 : C 
【分 析 】 TCP 已 经 提供 了 复杂 网 络 环境 下 的 端 到 端 可 靠 传输 机 制 。 
(3) 以 下 哪 一 项 不 是 安全 协议 的 安全 功能 ? ( ) 
A. 双向 身份 鉴别 B. 数据 加 密 
C. 数据 完整 性 检测 D. 端 到 端 可 靠 传输 
答案 : D 
【分 析 】 端 到 端 可 靠 传 输 涉 及 的 内 容 很 多 ,如 正确 的 路 由 项 、 负 载 均衡 ,防御 拒绝 服 
务 攻击 、 端 到 端 可 靠 传 输 机 制 等 ,这 些 功 能 主要 由 TCP/IP 协议 栈 实现 。 
(4) 关于 重 放 攻 击 , 以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. 向 接收 端 重复 发 送 同一 个 报 文 B. 故意 延长 报 文 传输 时 间 
C. 造成 接收 端 报 文 处 理 出 错 D. 黑客 伪造 报 文 
答案 : D 
【分 析 】 重 放 攻击 使 用 的 报 文 的 源 端 通常 是 正确 的 ,黑客 所 做 的 是 截获 或 嗅 探 报 文 ， 
向 接收 端 重复 发 送 该 报 文 ,或 者 故意 延迟 一 段 时 间 后 ,再 向 接收 端 转 发 该 报 文 。 
(5) 以 下 关于 IPSec 的 叙述 中 正确 的 是 (  )。 
A. IPSec 是 解决 IP 协议 安全 问题 的 一 种 方案 
B. IPSec 不 能 提供 完整 性 保护 
C. IPSec 不 能 提供 机 密 性 保护 
D. IPSec 不 能 提供 认证 功能 
答案 : A 
【分 析 】 IPSec 实现 的 安全 功能 包括 双向 身份 鉴别 、 端 到 端 传 输 的 数据 的 保密 性 和 
(6) 以 下 哪 一 项 协议 不 能 被 攻击 者 用 来 进行 DoS 攻击 ? (  ) 
A ‘TCP B. ICMP C. UDP D. IPSec 
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答案 : D 


【分 析 】 IPSec 是 一 种 安全 协议 ,其 主要 功能 就 是 消除 IP 协议 的 安全 缺陷 。 而 大 量 
的 拒绝 服务 攻击 往往 是 通过 利用 协议 的 安全 缺陷 实现 的 。 
(7) 关于 IPSec 安全 关联 ,以 下 哪 一 项 描述 是 正确 的 ? ( ) 


A. 单 向 的 B. 双向 的 
C. 无 方向 的 D. 任意 
答案 : A 


【分 析 】 IPSec 安全 关联 是 单 向 的 ,用 于 实现 发 送 端 至 接收 端的 安全 传输 过 程 。 如 
果 需 要 实现 两 端 之 间 双 向 安全 传输 过 程 , 则 必须 在 两 端 之 间 分 别 建立 不 同 传输 方向 的 安 


全 关联 。 
(8) 以 下 哪 一 项 不 属于 IPSec 的 功能 ?( ) 
A. 发 送 端 鉴别 B. 完整 性 检测 
C. 加 密 传输 D. 差错 控制 
答案 : D 


【分 析 】 IPSec 不 提供 差错 控制 功能 。 
(9) 关于 IPSec, 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. IPSec 是 网 际 层 实 现 IP 分 组 端 到 端 安全 传输 的 机 制 
B. AH 只 实现 数据 完整 性 检测 
C. ESP 实现 数据 加 密 和 完整 性 检测 
D. 必须 由 IKE 动态 建立 端 到 端 之 间 的 安全 关联 
答案 : D 
【分 析 】 端 到 端 安全 传输 数据 前 ,必须 建立 安全 关联 ,但 可 以 静态 建立 安全 关联 。 
(10) 关于 IPSec, 以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 


A. AH 能 够 实现 双向 身份 鉴别 B. ESP 能 够 实现 双向 身份 鉴别 
C. IKE 能 够 实现 双向 身份 鉴别 D. IP 能 够 实现 双向 身份 鉴别 
答案 : C 


【分 析 】 在 动态 建立 安全 关联 时 ,由 IKE 完成 双向 身份 鉴别 ,双方 可 以 通过 共享 密 
钥 ,或 者 证 书 十 私 钥 证 实 自己 的 身份 。 
(11) 关于 AH, 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 可 以 检测 出 算 改 的 源 IP 地 址 
B. 可 以 检测 出 复 改 的 目的 IP 地 址 
C. 可 以 检测 出 复 改 的 IP 分 组 净 荷 
D. 可 以 检测 出 算 改 封装 IP 分 组 的 MAC 帧 的 源 MAC 地 址 
答案 : D 
【分 析 】 AH 计算 鉴别 数据 时 ,只 包含 IP 分 组 中 的 相关 字段 。 
(12) 以 下 哪 一 项 可 以 验证 发 送 终端 的 卫 地 址 、 保 障 数据 的 完整 性 和 防止 重 放 攻 击 ? 
¢ 3 





A. AH B. ESP C. TIS BD SET 
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答案 : A 
【分 析 】 AH 是 唯一 对 源 IP 地 址 进行 完整 性 检测 的 安全 协议 。 
(13) 关于 ESP, 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 可 以 检测 出 算 改 的 源 IP 地 址 
B. 可 以 加 密 IP 分 组 净 荷 
C. 可 以 检测 出 自 改 的 IP 分 组 净 荷 
D. 可 以 检测 出 算 改 的 ESP 首部 
答案 : A 
【分 析 】 ESP 在 计算 鉴别 数据 时 ,不 包含 IP 分 组 首部 中 传输 过 程 中 不 变 的 字段 ,如 
源 和 目的 IP 地 址 。 
(14) ESP 协议 不 能 对 以 下 哪 一 项 进行 封装 ? (。 ) 
A. 应 用 层 协 议 数 据 单元 B. 传输 层 协 议 数据 单元 
C. 网 络 层 协议 数据 单元 D. 链 路 层 协议 数据 单元 
答案 : D 
【分 析 】 ESP 是 网 络 层 安全 协议 ,可 以 封装 网 络 层 及 以 上 的 PDU。 
(15) 下 列 选项 中 , 哪 一 项 是 ESP 协议 在 传输 模式 下 不 进行 加 密 的 ? ( ) 


A. 源 IP 地 址 和 目的 IP 地址 B. 源 端 口号 和 目的 端口 号 
C. 应 用 层 协议 数据 D， ESP 报 尾 
答案 : A 


【分 析 】 ESP 协议 在 传输 模式 下 不 对 IP 分 组 的 首部 进行 加 密 。 
(16) 关于 IKE, 以 下 哪 一 项 描述 是 错误 的 ? (  ) 

A. IKE 第 一 阶段 建立 IKE 安全 关联 

B. IKE 第 二 阶段 建立 IPSec 安全 关联 

C. IKE 第 一 阶段 协商 加 密 算 法 和 MAC 算法 等 

D. IKE 第 二 阶段 完成 双向 身份 鉴别 过 程 
答案 : D 
【分 析 】 IKE 在 第 一 阶段 完成 双向 身份 鉴别 过 程 。 
(17) 以 下 哪 一 项 关于 TLS 的 描述 是 错误 的 ? ( 。 ) 

A. TLS 可 以 实现 双向 身份 鉴别 

B. TLS 动态 约定 双方 使 用 的 安全 参数 

C. TLS 只 能 用 于 HTTP 

D. TLS 握手 协议 是 一 种 比较 通用 的 双向 鉴别 协议 
答案 : C 
【分 析 】 TLS 作为 传输 层 安全 协议 ,可 以 作用 于 多 种 应 用 层 协议 。 
(18) 关于 TLS, 以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 

A. 一 种 实现 两 个 进程 之 间 安 全 传输 的 安全 协议 

B. 一 种 实现 两 个 终端 之 间 安 全 传输 的 安全 协议 

C. 一 种 实现 链 路 两 端 之 间 安 全 传输 的 安全 协议 
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D. 一 种 与 特定 应 用 层 协议 相关 的 安全 协议 
答案 : A 
【分 析 】 TLS 是 一 种 实现 两 个 进程 之 间 安 全 传输 的 安全 协议 。 
(19) 关于 TLS, 以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. TLS 是 一 套 安全 协议 
B. 由 TLS 握手 协议 完成 身份 鉴别 和 安全 参数 协商 过 程 
C. 由 TLS 记录 协议 完成 上 层 协议 消息 封装 过 程 
D. 由 TLS 改变 密码 规范 协议 完成 两 端 密码 协商 过 程 
答案 : D 
【分 析 】 TLS 改变 密码 规范 协议 只 是 用 于 通知 对 方 开始 使 用 新 约定 的 安全 参数 。 
由 TLS 握手 协议 完成 两 端 安全 参数 协商 过 程 ,包括 两 端 使 用 的 密码 。 
(20) 关于 HTTPS 中 TLS 的 作用 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 由 TLS 完成 客户 端 对 Web 服务 器 的 身份 鉴别 过 程 
B. 由 TLS 完成 客户 端 与 Web 服务 器 之 间 的 安全 参数 协商 过 程 
C. 由 TLS 实现 客户 端 与 Web 服务 器 之 间 的 HTTP 消息 的 安全 传输 过 程 
D. 由 TLS 实现 客户 端 对 Web 服务 器 的 访问 过 程 
答案 : D 
【分 析 】 由 HTTP 实现 客户 端 对 Web 服务 器 的 访问 过 程 ,由 TLS 实现 客户 端 与 
Web 服务 器 之 间 的 HTTP 消息 的 安全 传输 过 程 。 
(21) 以 下 哪 一 项 关于 HTTPS 的 描述 是 错误 的 ? ( 。 ) 
A. 客户 通过 TLS 鉴别 服务 器 身份 
B. 客户 和 服务 器 通过 TLS 动态 约定 双方 使 用 的 安全 参数 
C. 处 理 后 的 HTTP PDU 作为 TLS 记录 协议 的 净 荷 
D. 记录 协议 的 内 容 类 型 字段 区 分 不 同 的 应 用 层 协 议 
答案 : D 
【分 析 】 所 有 的 应 用 层 协议 数据 单元 对 应 着 相同 的 内 容 类 型 字段 值 ,因此 ,不 能 通过 
记录 协议 的 内 容 类 型 字段 区 分 不 同 的 应 用 层 协议 。 
(22) 关于 SSL, 以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 为 链 路 层 提供 了 加 密 、 身 份 鉴别 和 完整 性 检测 的 保护 
B. 为 网 络 层 提供 了 加 密 、 身 份 鉴别 和 完整 性 检测 的 保护 
C. 为 传输 层 提供 了 加 密 、 身 份 鉴别 和 完整 性 检测 的 保护 
D. 为 应 用 层 提 供 了 加 密 、 身 份 鉴别 和 完整 性 检测 的 保护 
答案 : D 
【分 析 】 应 用 层 PDU 被 封装 成 SSL 记录 协议 报 文 时 ,完成 加 密 和 计算 消息 鉴别 码 
的 过 程 。 
(23) 以 下 哪 一 项 不 是 DNS Sec 的 功能 ? (。 ) 
A. 源 端 鉴别 
B. 完整 性 检测 
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C. 加 密 资源 记录 
D. 验证 域名 与 了 P 地 址 之 间 的 绑 定 关系 
答案 : C 
【分 析 】 DNS Sec 不 对 资源 记录 进行 加 密 。 
(24) 关于 引出 DNS Sec 的 原因 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 黑客 可 以 伪造 DNS 响应 消息 B. 黑客 可 以 算 改 DNS 响应 消息 
C. 黑客 可 以 截获 DNS 响应 消息 D. 黑客 可 以 嗅 探 DNS 响应 消息 
答案 : D 
【分 析 】 嗅 探 只 能 获取 DNS 响应 消息 ,有 可 能 破坏 DNS 响应 消息 的 保密 性 。 一 般 
情况 下 ,需要 保证 DNS 响应 消息 的 真实 性 和 完整 性 ,但 无 须 保证 DNS 响应 消息 的 保 
密 性 。 
(25) 关于 DNS Sec, 以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. 接收 端 对 DNS 响应 消息 实现 源 端 鉴别 
B. 接收 端 对 DNS 响应 消息 实现 完整 性 检测 
C. 发 送 端 对 DNS 响应 消息 进行 数字 签名 
D. 接收 端 通过 PKI 获取 证 明 公 钥 与 发 送 端 之 间 绑 定 关系 的 证 书 
答案 : D 
【分 析 】 在 DNS Sec 中 ,每 一 台 域 名 服务 器 需要 事先 获取 经 过 验证 的 上 一 级 域名 服 
务 器 的 公 钥 , 并 通过 资源 记录 建立 该 公 钥 和 上 一 级 域名 服务 器 之 间 的 绑 定 关系 。 
(26) 以 下 哪 一 项 与 DNS Sec 验证 域名 与 IP 地 址 之 间 的 绑 定 关系 无 关 ? (。 ) 
A. 增加 用 于 证 明 域 名 与 公 钥 之 间 绑 定 关系 的 资源 记录 
B. 增加 用 于 证 明子 域 与 公 钥 之 间 绑 定 关系 的 资源 记录 
C. 数字 签名 
D. 域名 服务 器 之 间 用 共享 密 钥 鉴别 对 方 身份 
答案 : D 
【分 析 】 DNS Sec 通过 数字 签名 实现 DNS 响应 报 文 的 源 端 鉴别 和 完整 性 检测 。 
(27) 安全 电子 交易 协议 SET 是 由 Visa 和 MasterCard 两 大 信用 卡 组 织 联合 开发 的 
电子 商务 安全 协议 。 以 下 关于 SET 的 叙述 中 ,正确 的 是 (  )。 
A. SET 是 一 种 基于 流 密码 的 协议 
B. SET 不 需要 可 信 的 第 三 方 认证 中 心 的 参与 
C. SET 要 实现 的 主要 目标 包括 保障 付款 安全 、 确 定 应 用 的 互通 性 和 达到 全 球 
市 场 的 可 接受 性 
D. SET 通过 向 电子 商务 各 参与 方 发 放 验 证 码 确认 各 方 的 身份 ,保证 网 上 支付 
的 安全 性 
答案 : C 
【分 析 】 SET 采用 的 密码 体制 是 分 组 密码 体制 ,通过 证 书 和 私 钥 证 明 自己 的 身份 ， 
证 书 由 第 三 方 认证 中 心 颁发 。 
(28) 关于 SET 中 的 证 书 , 以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
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A. 用 证 书证 明 公 钥 与 信用 卡 账号 之 间 的 绑 定 
B. 用 证 书证 明 公 钥 与 商家 之 间 的 绑 定 
C. 认证 中 心 提供 用 于 验证 证 书 的 证 书 链 
D. SET 应 用 系统 中 只 允许 有 单个 认证 中 心 
答案 : D 
【分 析 】 SET 应 用 系统 中 允许 有 多 个 认证 中 心 ,但 不 同 认 证 中 心 之 间 存 在 信任 锚 ， 
因此 ,可 以 构建 验证 不 同 认证 中 心 颁发 的 证 书 的 证 书 链 。 
(29) 以 下 哪 一 项 不 属于 电子 交易 的 安全 需求 ? ( 。 ) 


A. 交易 的 真实 性 B. 交易 的 保密 性 和 完整 性 
C. 交易 的 可 撤销 性 D. 交易 的 不 可 抵赖 性 
答案 : C 


【分 析 】 电子 交易 的 安全 需求 不 包括 交易 的 可 撤销 性 。 
(30) 关于 SET 应 用 系统 中 交易 各 方 之 间 传 输 的 消息 ,以 下 哪 一 项 描述 是 错误 的 ? 
( ) 
A. 接收 端 对 消息 进行 源 端 鉴别 
B. 接收 端 对 消息 进行 完整 性 检测 
C. 发 送 端 对 消息 进行 加 密 
D. 发 送 端 和 接收 端 事先 配置 用 于 加 密 的 对 称 密 钥 
答案 : D 
【分 析 】 发 送 端 随机 生成 用 于 加 密 消息 的 对 称 密 钥 ,然后 用 接收 端 公 钥 加 密 对 称 密 
钥 后 生成 数字 信封 ,将 数字 信封 和 密 文 一 起 发 送 给 接收 端 。 
(31) 关于 双重 数字 签名 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. H(H(PD | HCOD)) 的 目的 是 不 能 分 离 订货 信息 和 支付 信息 
B. 验证 双重 签名 只 需 提 供 HIPD 和 H(OD) 
C. 可 以 在 不 提供 订货 信息 和 支付 信息 的 情况 下 绑 定 订货 信息 和 支付 信息 
D. 用 发 送 者 的 私 钥 对 H(H(PD | H(COD) ) 进 行 两 次 解密 运算 
答案 : D 
【分 析 】 双重 签名 不 是 指 用 发 送 者 的 私 钥 对 HCH(CPI) ‖ H(OD)) 进 行 两 次 解密 运 
算 ,而 是 对 订货 信息 和 支付 信息 的 绑 定 关系 进行 签名 。 
(32) 以 下 哪 一 项 不 是 PGP 的 功能 ? ( ) 


A. 源 端 鉴别 B. 加 密 C. 压缩 D. 分 发 公 钥 
答案 : D 
【分 析 】 分 发 公 钥 不 是 PGP 的 功能 ,但 PGP 正常 工作 的 前 提 是 ,发 送 端 和 接收 端 拥 
有 对 方 的 公 钥 。 
(33) 关于 S/MIME, 以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 基于 MIME 


B. 增加 了 鉴别 邮件 子 报 文 内 容 
C. 增加 了 加 密 邮 件 子 报 文 内 容 
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D. 增加 了 证 书 邮件 子 报 文 内 容 
答案 : D 
【分 析 】 增加 的 内 容 类 型 中 没有 单独 的 证 书 邮件 子 报 文 内 容 , 证 书包 含 在 鉴别 邮件 
子 报 文 内 容 和 加 密 邮 件 子 报 文 内 容 中 。 
(34) 下 列 协议 中 , 哪 一 项 可 以 为 电子 邮件 提供 数字 签名 和 数据 加 密 功 能 ? (。”) 


A. SMTP B. S/MIME CSEr D POP3 
答案 : B 
【分 析 】 S/MIME 增加 了 鉴别 邮件 子 报 文 内 容 和 加 密 邮 件 子 报 文 内 容 。 
6.3 名 词 解 释 
(1) 安全 协议 


为 弥补 原 有 了 网络 协议 的 安全 缺陷 ,在 原 有 网 络 协 议 的 基础 上 ,增加 的 一 整套 用 于 实现 
双向 身份 鉴别 .数据 传输 保密 性 和 数据 传输 完整 性 的 协议 。 

(2) 安全 协议 体系 结构 

一 种 在 TCP/IP 体系 结构 中 的 每 一 层 给 出 用 于 实现 该 层 对 等 层 之 间 安 全 传输 过 程 的 
安全 协议 的 体系 结构 。 

(3) IPSec 

网 际 层 实现 IP 分 组 端 到 端 安全 传输 的 机 制 。 

(4) 安全 关联 

发 送 者 与 接收 者 之 间 以 实现 源 端 鉴别 .数据 加 密 和 完整 性 检测 为 目的 的 关联 。 

(5) AH 

一 种 用 于 实现 安全 关联 中 发 送 者 至 接收 者 数据 传输 完整 性 的 安全 协议 。 

(6) ESP 

一 种 用 于 实现 安全 关联 中 发 送 者 至 接收 者 数据 传输 保密 性 和 完整 性 的 安全 协议 。 

(7) IKE 

一 种 用 于 完成 安全 关联 两 端 之 间 的 双向 身份 鉴别 过 程 和 安全 关联 相关 安全 参数 的 协 
商 过 程 的 协议 。 

(8) TLS 

一 套 在 传输 层 用 于 完成 双向 身份 鉴别 和 安全 参数 协商 的 协议 。 

(9) HTTPS 

一 种 在 TCP 基础 上 建立 TLS 安全 连接 ,经 过 TLS 安全 连接 实现 对 Web 服务 器 的 
身份 鉴别 ,浏览 器 和 Web 服务 器 之 间 传 输 的 HTTP 消息 的 保密 性 、 完 整 性 和 源 端 鉴别 的 
安全 机 制 。 

(10) DNS Sec 

在 DNS 基础 上 增加 DNS 响应 消息 源 端 鉴别 和 完整 性 检测 的 DNS 安全 协议 。 

(11) SET 

为 了 解决 持 卡 人 、 商 家 和 银行 之 间 基于 Internet 进行 的 电子 交易 过 程 中 的 安全 性 而 


设计 的 协议 。 

(12) PGP 

一 种 实现 邮件 发 送 端 身份 鉴别 ,保证 邮件 传输 过 程 中 的 保密 性 和 完整 性 的 安全 协议 。 

(13) S/MIME 

在 通用 Internet 邮件 扩充 (Multipurpose Internet Mail Extension, MIME) 的 基础 上 
增加 了 和 安全 传输 邮件 相关 的 内 容 类 型 后 的 邮件 格式 ,增加 的 内 容 类 型 主要 是 为 了 表示 
用 于 鉴别 邮件 内 容 的 数字 签名 和 加 密 邮 件 内 容 产 生 的 密 文 。 
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以 太 网 安全 技术 


7.1 例题 解析 


【例题 7. 1】 给 出 交换 机 S 端口 1 和 端口 2 的 访问 控制 列表 配置 ,使 以 太 网 满足 如 
下 安全 要 求 。 

(1) 保持 如 图 7.1 所 示 的 连接 方式 不 变 , 但 允许 集线器 Hl 和 H2 接 入 其 他 终端 。 

(2) Hl 和 H2 之 间 只 允许 终端 A 和 终端 B 与 终端 C 和 终端 D 之 间 相 互通 信 。 

(3) 禁止 其 他 接 人 集线器 的 终端 与 连接 在 另 一 台 集 线 器 上 的 终端 相互 通信 。 









D 口 加 已 
人 


MACA MACB MACC MACD 
图 7.1 以 太 网 结构 














【解析 】 (了) 启动 交换 机 S 端口 1 和 端口 2 的 安全 功能 。(2) 在 端口 1 对 应 的 访问 控 
制 列表 中 配置 MAC 地 址 MAC A 和 MAC B, 在 端口 2 对 应 的 访问 控制 列表 中 配置 MAC 
地 址 MAC C 和 MAC D。(3) 将 端口 1 和 端口 2 访问 控制 列表 中 的 最 大 MAC 地 址 数 设 
置 为 2。 

【例题 7. 2】 网 络 结构 如 图 7. 2 所 示 ,对 于 只 需要 访问 内 部 网 络 资源 的 终端 ,不 对 其 
接 人 内 部 网 络 的 过 程 实施 控制 。 但 只 允许 授权 用 户 使 用 的 终端 访问 Internet。 给 出 用 
802. 1X 实现 接 入 终端 鉴别 所 需要 的 配置 。 

【解析 】 在 交换 机 S4 端口 1 启动 802. 1X 接 入 控制 功能 ,并 在 交换 机 S4 中 配置 如 
表 7.1 所 示 的 鉴别 数据 库 。 
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图 7.2 接 入 网 络 结构 
表 7.1 鉴别 数据 库 
用 户 名 鉴别 机 制 = 
用 户 A EAP-CHAP PASSA 
用 户 B EAP-CHAP PASSB 











【例题 7.3】 如 果 以 太 网 结构 与 DHCP 服务 器 配置 如 图 7. 3 所 示 , 确 定 交 换 机 的 信 
任 端口 和 非 信 任 端口 。 





DHCP 服 务 器 














终端 A 终端 B 终端 C 终端 D 
MACA MACB MACC MACD 


图 7.3 以 太 网 结构 
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【解析 】 


在 DHCP 服务 器 至 各 个 终端 的 交换 路 径 所 经 过 的 交换 机 端口 中 ,所 有 接收 


DHCP 服务 器 发 送 的 DHCP 响应 消息 的 端口 都 应 该 是 信任 端口 ,其 他 端口 是 非 信任 端 
口 。 因 此 ,交换 机 S2 端口 3、 交换 机 Sl 端口 3 和 交换 机 S3 端口 3 是 信任 端口 ,交换 机 S2 
端口 1 和 端口 2、 交 换 机 Sl 端口 1 和 端口 2 及 交换 机 S3 端口 1 和 端口 2 是 非 信任 端口 。 
【例题 7. 4】 如 果 图 7. 3 中 的 终端 A、 终 端 B,. 终 端 C 和 终端 D 通 过 DHCP 获取 的 下 
地 址 分 别 是 IP AIPBIPC 和 卫 D。 给 出 图 7.3 中 三 台 交 换 机 的 DHCP 侦 听 信息 库 。 
【解析 】 三 台 交 换 机 的 DHCP 侦 听 信息 库 分 别 如 表 7. 2、 表 7. 3 和 表 7.4 所 示 。 


表 7.2 交换 机 S1 DHCP 侦 听 信息 库 





























端 ” 口 MAC 地 址 IP 地 址 
MAC A IPA 
2 MACB IPB 
表 7.3 交换 机 S2 DHCP 侦 听 信息 库 
端口 MAC 地 址 IP 地 址 
i MAC A IPA 
1 MACB IPB 
2 MACC PC 
MACD IPD 
表 7.4 交换 机 S3 DHCP 侦 听 信息 库 
端 口 MAC 地 址 JP 地 址 
1 MACC IPC 
2 MACD IPD 








【例题 7. 5】 以 太 网 结构 如 图 7. 4 所 示 , 如 果 黑 客 终端 想 截 获 终端 A 和 终端 B 与 终 
端 C 和 终端 D 之 间 传输 的 MAC 帧 ,给 出 黑客 终端 的 连接 方式 和 配置 ,并 简 述 截获 过 程 。 
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MACB MACC 


图 7.4 以 太 网 结构 


终端 D 
MACD 
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【解析 】 黑客 终端 连接 方式 如 图 7. 5(a) 所 示 , 黑 客 终端 的 两 个 接口 分 别 连接 交换 机 
Sl 和 S3 的 端口 5。 黑客 终端 这 样 连接 的 目的 是 : 当成 功 构建 生成 树 , 且 黑客 终端 成 为 生 
成 树 的 根 网 桥 时 ,保证 终端 A 和 终端 B 与 终端 C 和 终端 D 之 间 传 输 的 MAC 帧 经 过 根 网 
桥 。 如 图 7.5(b) 所 示 是 以 黑客 终端 为 根 网 桥 的 生成 树 ,根据 该 生成 树 结构 ,终端 A 和 终 
端 B 与 终端 C 和 终端 D 之 间 传 输 的 MAC 帧 经 过 黑客 终端 。 















































终端 C ”终端 D 终端 A 
MACC MACD MACA MACB MACC MACD 


黑客 终端 黑客 终端 
(a) 黑客 终端 连接 方式 (b) 构建 的 生成 树 
7.5 黑客 终端 连接 方式 和 截获 过 程 


【例题 7.6】 互连网 结构 如 图 7.6 所 示 , 完 成 以 太 网 安全 功能 配置 过 程 ,使 互连网 具 
有 以 下 安全 功能 。 

(1) 所 有 终端 只 能 从 DHCP 服务 器 获取 网 络 信息 。 

(2) 黑客 终端 无 法 接 人 由 交换 机 S1、S2 和 S3 组 成 的 以 太 网 。 

(3) 以 太 网 中 的 终端 无 法 实施 ARP 欺骗 攻击 。 
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图 7.6 互连网 结构 
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【解析 】 

(1) 交换 机 S4 端口 2、 交换 机 S2 端口 3、 交 换 机 Sl 端口 3 和 交换 机 S3 端口 3 配置 
为 信任 端口 ,其 他 交换 机 端口 配置 为 非 信 任 端 口 。 

(2) 除了 端口 1、 端 口 2 和 端口 3 外 ,关闭 交换 机 S1、S2 和 S3 中 所 有 其 他 端口 。 交 换 
机 Sl 端口 1 对 应 访问 控制 列表 中 配置 的 MAC 地址 MAC A, 端 口 2 对 应 访问 控制 列表 
中 配置 的 MAC 地 址 MAC B, 端 口 3 对 应 访问 控制 列表 中 配置 的 MAC 地 址 MAC C、 
MAC D 和 MAC R。 交 换 机 S2 端口 1 对 应 访问 控制 列表 中 配置 的 MAC 地 址 MAC A 
和 MAC B, 端 口 2 对 应 访问 控制 列表 中 配置 的 MAC 地 址 MAC C 和 MAC D, 端 口 3 对 
应 访问 控制 列表 中 配置 的 MAC 地 址 MAC R。 交 换 机 S3 端口 1 对 应 访问 控制 列表 中 配 
置 的 MAC 地 址 MAC C ,端口 2 对 应 访问 控制 列表 中 配置 的 MAC 地 址 MAC D, 端 口 3 
对 应 访问 控制 列表 中 配置 的 MAC 地 址 MAC A.MAC B 和 MAC R。 

(3) 启动 交换 机 S1、S2 和 S3 的 DHCP 侦 听 功 能 ,建立 DHCP 侦 听 信息 库 。 启 动 交 
换 机 S1、S2 和 S3 的 防 ARP 欺骗 攻击 功能 。 


7.2 选择 题 分 析 


(1) 以 下 哪 一 项 不 用 于 说 明 以 太 网 安全 技术 的 重要 性 ? ( ) 
A. 以 太 网 是 最 普及 的 局 域 网 之 一 
B. 大 量 安全 威胁 与 以 太 网 有 关 
C. 黑客 终端 常常 非法 接 入 以 太 网 
D. 目前 的 以 太 网 通常 是 交换 式 以 太 网 
答案 : D 
【分 析 】 越 普及 越 容易 成 为 黑客 攻击 热点 ,因此 ,黑客 会 发 明 大 量 针对 以 太 网 的 攻击 
方法 。 黑 客 终端 实施 攻击 的 前 提 是 非法 接 入 以 太 网 。 
(2) 以 下 哪 一 项 攻击 与 以 太 网 无 关 ? (。 ) 
A. MAC 表 溢出 攻击 B. MAC 地 址 欺骗 攻击 
C. 生成 树 欺骗 攻击 D. DNS 欺骗 攻击 
答案 : D 
【分 析 】 DNS 欺骗 攻击 与 以 太 网 无 关 。 
(3) 以 下 哪 一 项 设备 不 可 能 具备 终端 接 人 控制 功能 ? ( ) 
A. 交换 机 B. 路 由 器 C. AP D. 总 线 
答案 : D 
【分 析 】 终端 接 入 控制 设备 必须 是 智能 设备 。 
(4) 以 下 哪 一 项 设备 是 实施 终端 接 入 控制 的 最 佳 设备 ?( 。 ) 
A. 交换 机 B. 路 由 器 C. 防火 墙 D. 总 线 
答案 : A 
【分 析 】 接 和 控制 最 好 在 直接 连接 终端 的 设备 上 进行 。 
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(5) 以 下 哪 一 项 设备 可 以 用 于 防止 DHCP 欺骗 攻击 ? ( ) 
A. 交换 机 B. 路 由 器 C. AP D. 防火 墙 
答案 : A 
【分 析 】 伪造 的 DHCP 服务 器 通常 需要 接 入 以 太 网 , 且 需 要 向 以 太 网 发 送 DHCP 
响应 消息 ,因此 ,交换 机 是 比较 理想 的 禁止 伪造 的 DHCP 服务 器 向 以 太 网 发 送 DHCP 响 


应 消息 的 设备 。 
(6) 以 下 哪 一 项 不 是 以 太 网 的 安全 缺陷 ?( 。 ) 
A. MAC 帧 转发 机 制 B. MAC 表 建 立 机 制 
C. 建立 生成 树 机 制 D. 地 址 解析 协议 
答案 : D 


【分 析 】 地 址 解析 协议 是 一 种 通过 节点 的 网 络 地 址 解析 出 节点 的 MAC 地 址 的 协 
议 , 适 用 于 具有 广播 功能 的 网 络 ,如 以 太 网 、 无 线 局 域 网 等 。 地 址 解析 协议 的 安全 缺陷 会 
引发 ARP 欺骗 攻击 ,但 地 址 解析 协议 的 安全 缺陷 不 能 作为 以 太 网 的 安全 缺陷 。 

(7) 以 下 哪 一 项 是 解决 MAC 表 溢 出 攻击 的 有 效 方法 2 (。 ) 

A. 增加 MAC 表 容 量 

B. 限制 接 入 以太 网 的 终端 数量 

C. 限制 每 一 个 交换 机 端口 允许 接收 的 源 MAC 地 址 不 同 的 MAC 帧 的 数量 
D. 限制 每 一 个 交换 机 端口 的 数据 传输 速率 

答案 : C 

【分 析 】 一 是 黑客 通过 发 送 大 量 源 MAC 地 址 不 同 的 MAC 帧 ,使 交换 机 MAC 表 溢 
出 ;二 是 同一 黑客 终端 发 送 的 MAC 帧 ,往往 通过 相同 的 交换 机 端口 进入 交换 机 。 因 此 ， 
解决 MAC 表 溢出 攻击 的 有 效 方法 是 限制 每 一 个 交换 机 端口 允许 接收 的 源 MAC 地 址 不 
同 的 MAC 帧 的 数量 。 

(8) 以 下 哪 一 项 是 解决 MAC 地 址 欺骗 攻击 的 有 效 方法 ? ( ) 

A. 为 每 一 台 交 换 机 静态 配置 MAC 表 

B. 对 每 一 个 MAC 地 址 ,永远 保留 第 一 次 通过 地 址 学 习 建 立 的 转发 项 
C. 取消 更 新 转发 项 的 功能 

D. 每 一 个 交换 机 端口 只 允许 接收 源 MAC 地 址 是 合法 地 址 的 MAC 帧 

答案 : D 

【分 析 】 其 他 三 项 需要 改变 交换 机 建立 MAC 表 的 机 制 , 这 些 改变 会 导致 终端 之 间 
无 法 通信 。D 选项 使 黑客 终端 无 法 有 效 接 人 交换 机 端口 。 

(9) 以 下 哪 一 项 是 解决 DHCP 欺骗 攻击 的 有 效 方法 ? ( 。 ) 

A. 终端 具有 鉴别 DHCP 服务 器 功能 
B. 终端 只 向 正确 的 DHCP 服务 器 发 送 DHCP 服务 请 求 
C. 交换 机 端口 具有 鉴别 DHCP 服务 器 功能 
D. 限制 允许 接 入 DHCP 服务 器 的 交换 机 端口 
答案 : D 
【分 析 】 为 了 保证 只 允许 正确 的 DHCP 服务 器 接 入 以 太 网 ,让 正确 的 DHCP 服务 
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器 接 入 指定 的 交换 机 端口 ,禁止 其 他 端口 连接 的 服务 器 提供 DHCP 服务 , 即 禁 止 其 他 端 
口 连接 的 服务 器 发 送 DHCP 响应 消息 。 
(10) 以 下 哪 一 项 是 防止 源 IP 地 址 欺骗 攻击 的 有 效 手 段 ? ( ) 


A. 绑 定 MAC 地 址 和 卫 地 址 B. 绑 定 接 人 端口 和 MAC 地 址 
C. 绑 定 接 和 人 端口 和 卫 地 址 D. 防火 墙 设置 标准 过 滤器 
答案 : C 


【分 析 】 将 IP 地 址 和 交换 机 端口 绑 定 , 从 该 交换 机 端口 输入 的 IP 分 组 中 ,只 允许 继 
续 传输 源 IP 地 址 为 与 该 交换 机 端口 绑 定 的 IP 地 址 的 IP 分 组 是 防止 源 IP 地 址 欺骗 攻击 


的 有 效 手 段 。 
(11) 以 下 哪 一 项 是 可 以 防止 ARP 欺骗 攻击 的 手段 ?(  ) 
A. 绑 定 MAC 地 址 和 IP 地址 B. 绑 定 接 入 端口 和 MAC 地 址 
C. 绑 定 接 和 人 端口 和 IP 地 址 D. 防火 墙 设置 标准 过 滤器 
答案 : A 
【分 析 】 ARP 欺骗 攻击 就 是 通过 伪造 IP 地 址 与 MAC 地 址 之 间 的 绑 定 关系 实 
施 的 。 
(12) 访问 控制 列表 是 基于 以 下 哪 一 项 的 接 入 控制 技术 ? (  ) 
A. 终端 MAC 地 址 B. 注册 用 户 的 用 户 名 和 口令 
C. 终端 IP 地 址 D， MAC 帧 类 型 
答案 : A 


【分 析 】 某 个 交换 机 端口 一 旦 配置 MAC 地 址 列表 , 则 在 该 交换 机 端口 输入 的 MAC 
帧 中 ,只 允许 继续 传输 源 MAC 地 址 属于 MAC 地 址 列表 中 的 MAC 地 址 的 MAC 帧 。 
(13) 以 下 哪 一 项 有 关 802. 1X 的 描述 是 错误 的 ? ( ) 
A. 802.1X 是 基于 用 户 的 接 人 控制 技术 
B. 802. 1X 和 访问 控制 列表 结合 才能 精细 控制 终端 接 入 过 程 
C. 终端 多 次 接 入 某 个 交换 机 端口 只 需 一 次 身份 鉴别 过 程 
D. 身份 鉴别 过 程 中 记录 授权 用 户 使 用 的 终端 的 MAC 地 址 
答案 : C 
【分 析 】 一 旦 交换 机 端口 检测 到 该 终端 离线 ,或 者 在 规定 时 间 内 没有 接收 到 该 终端 
发 送 的 MAC 帧 , 则 在 重新 通过 身份 鉴别 前 ,该 交换 机 端口 将 禁止 转发 该 终端 发 送 的 
MAC 帧 。 
(14) 以 下 哪 一 项 是 解决 ARP 欺骗 攻击 的 有 效 方法 ? ( ) 
A. 为 每 一 个 终端 静态 配置 IP 地 址 与 MAC 地 址 之 间 的 绑 定 关系 
B. 每 一 个 终端 具有 判别 任何 卫 地 址 和 MAC 地 址 对 是 否 有 效 的 能 力 
C. 每 一 个 终端 具有 ARP 报 文 源 端 鉴别 的 能 力 
D. 交换 机 建立 每 一 个 端口 连接 的 终端 的 IP 地 址 和 MAC 地 址 对 
答案 : D 
【分 析 】 IP 地 址 是 逻辑 地 址 , 随 着 终端 连接 的 网 络 不 同 而 不 同 ,MAC 地 址 是 物理 地 
址 ,与 网 卡 绑 定 。 因 此 ,IP 地 址 与 MAC 地 址 之 间 的 绑 定 关系 是 变化 的 。 连 接 终端 的 交换 
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机 端口 可 以 检测 终端 IP 地 址 与 MAC 地 址 之 间 的 动态 绑 定 关系 ,并 因此 发 现 ARP 欺骗 
攻击 。 
(15) 以 下 哪 一 项 是 解决 生成 树 欺骗 攻击 的 有 效 方 法 ? ( ) 
A. 构建 一 个 交换 机 之 间 不 存在 环 路 的 以 太 网 
B. 交换 机 停止 运行 生成 树 协 议 
C. 精心 配置 交换 机 与 生成 树 相 关 的 参数 
D. 只 允许 互 连 有 效 交 换 机 的 交换 机 端口 发 送 和 接收 BPDU 
答案 : D 
【分 析 】 实施 生成 树 欺骗 攻击 的 黑客 终端 ,一 是 通过 配置 多 个 与 属于 不 同 交换 机 的 
端口 互 连 的 接口 ,使 以 太 网 成 为 网 状 型 拓扑 结构 ;二 是 通过 极端 配置 ,使 黑客 终端 成 为 生 
成 树 根 交 换 机 。 因 此 ,解决 生成 树 欺 骗 攻 击 的 有 效 方法 是 不 允许 黑客 终端 参与 构建 生成 
树 过 程 , 即 连接 黑客 终端 的 交换 机 端口 禁止 发 送 和 接收 BPDU。 
(16) 关于 静态 配置 访问 控制 列表 ,以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 只 允许 交换 机 端口 接收 和 转发 目的 MAC 地 址 是 指定 MAC 地 址 的 
MAC 帧 
B. 只 允许 交换 机 端口 接收 和 转发 源 MAC 地 址 是 指定 MAC 地 址 的 MAC 帧 
C. 只 允许 交换 机 端口 接收 和 转发 源 和 目的 MAC 地 址 是 指定 MAC 地 址 的 


MAC 帧 

D. 只 允许 交换 机 端口 接收 和 转发 指定 类 型 的 MAC 帧 
答案 : B 
【分 析 】 只 允许 交换 机 端口 接收 和 转发 源 MAC 地 址 是 访问 控制 列表 中 的 MAC 地 

址 的 MAC 帧 。 

(17) 在 以 下 攻击 中 , 哪 一 项 攻击 是 静态 配置 访问 控制 列表 无 法 防御 的 ? ( ) 

A. MAC 表 溢 出 攻击 B. MAC 地 址 欺骗 攻击 

C. DHCP 欺骗 攻击 D，ARP 欺骗 攻击 
答案 : D 


【分 析 】 静态 配置 访问 控制 列表 能 够 防御 的 攻击 通常 是 通过 伪造 源 MAC 地 址 实施 
的 攻击 ,如 MAC 表 江 出 攻击 和 MAC 地 址 欺骗 攻击 ,由 于 静态 配置 访问 控制 列表 可 以 限 
制 接 入 交换 机 端口 的 服务 器 的 MAC 地 址 ,因此 ,也 具有 禁止 没有 允许 接 入 的 DHCP 服 
务 器 接 入 的 功能 。ARP 欺骗 攻击 是 伪造 IP 地 址 与 MAC 地 址 之 间 的 绑 定 关系 ,因此 ,无 
法 通过 静态 配置 访问 控制 列表 实现 防御 。 
(18) 关于 安全 端口 ,以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 静态 配置 访问 控制 列表 中 的 MAC 地 址 
B. MAC 表 中 最 先 通 过 地 址 学 习 过 程 学 习 到 的 个 MAC 地 址 构成 访问 控制 
列表 
C. 访问 控制 列表 中 的 MAC 地 址 是 不 断 变 化 的 
D. 访问 控制 列表 一 直 与 MAC 表 保 持 同步 
答案 : B 
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【分 析 】 在 安全 端口 方式 下 ,访问 控制 列表 中 的 个 MAC 地 址 是 MAC 表 中 最 先 
通过 地 址 学 习 过 程 学 习 到 的 个 MAC 地 址 。 但 一 旦 访问 控制 列表 中 的 MAC 地 址 数 达 
到 最 大 地 址 数 ”访问 控制 列表 中 的 MAC 地 址 不 再 发 生变 化 。 

(19) 关于 安全 端口 ,以 下 哪 一 项 描述 是 正确 的 ? (  ) 

A. 安全 端口 比 静态 配置 访问 控制 列表 安全 
B. 黑客 终端 的 MAC 地 址 可 能 成 为 访问 控制 列表 中 的 MAC 地 址 
C. 静态 配置 访问 控制 列表 比 安全 端口 方便 
D. 安全 端口 比 静态 配置 访问 控制 列表 更 能 精确 地 控制 终端 接 入 

答案 : B 

【分 析 】 在 安全 端口 方式 下 ,访问 控制 列表 中 的 个 MAC 地 址 是 MAC 表 中 最 先 
通过 地 址 学 习 过 程 学 习 到 的 个 MAC 地 址 。 这 就 无 法 保证 这 个 MAC 地 址 就 是 个 
允许 接 入 交换 机 的 终端 的 MAC 地 址 。 安 全 端口 的 好 处 是 自动 获取 访问 控制 列表 中 的 
MAC 地 址 。 

(20) 关于 802. 1X 接 和 人 控制 过 程 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 

A. 允许 授权 用 户 使 用 的 终端 接 入 
B. 用 用 户 名 和 口令 标识 授权 用 户 
C. 需要 运行 客户 端 程序 

D. 允许 特定 MAC 地 址 的 终端 接 入 

答案 : D 

【分 析 】 802. 1X 允许 终端 接 入 的 条 件 如 下 : 一 是 运行 客户 端 程序 ;二 是 需要 对 客户 
端 程序 输入 某 个 授权 用 户 对 应 的 用 户 名 和 口令 。 该 终端 的 MAC 地 址 与 是 否 允 许 该 终端 
接 人 无 关 。 

(21) 关于 802. 1X 接 人 控制 过 程 和 访问 控制 列表 ,以 下 哪 一 项 描述 是 错误 的 ? ( ”) 

A. 访问 控制 列表 中 是 授权 用 户 使 用 的 终端 的 MAC 地 址 

B. 访问 控制 列表 中 是 静态 配置 的 特定 终端 的 MAC 地 址 

C. 完成 身份 鉴别 过 程 后 ,发 起 身份 鉴别 过 程 的 终端 的 MAC 地 址 进入 访问 控 
制 列表 

D. 完成 身份 鉴别 过 程 后 ,用 MAC 地 址 标识 授权 用 户 使 用 的 终端 

答案 : B 

【分 析 】 如 果 成 功 完 成 身份 鉴别 过 程 ,将 身份 鉴别 过 程 中 封装 身份 标识 信息 的 
MAC 帧 的 源 MAC 地 址 作为 标识 授权 用 户 使 用 的 终端 的 MAC 地 址 ,将 该 MAC 地 址 放 
人 访问 控制 列表 ,以 后 ,交换 机 端口 允许 接收 和 转发 以 该 MAC 地 址 为 源 MAC 地 址 的 
MAC 帧 。 

(22) 关于 统一 鉴别 和 本 地 鉴别 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 

A. 在 统一 鉴别 方式 下 ,交换 机 需要 配置 鉴别 服务 器 的 IP 地 址 

B. 在 本 地 鉴别 方式 下 ,交换 机 需要 配置 允许 接 入 的 授权 用 户 的 身份 标识 信息 

C. 在 统一 鉴别 方式 下 ,统一 在 鉴别 服务 器 中 配置 允许 接 入 的 授权 用 户 的 身份 
标识 信息 
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D. 在 本 地 鉴别 方式 下 , 某 个 授权 用 户 只 能 接 入 单 台 指定 交换 机 
答案 : D 
【分 析 】 在 本 地 鉴别 方式 下 , 某 个 授权 用 户 允 许 接 入 多 台 不 同 的 交换 机 ,只 是 这 些 交 
换 机 中 都 需要 配置 该 授权 用 户 的 身份 标识 信息 。 
(23) 关于 统一 鉴别 方式 下 的 交换 机 与 鉴别 服务 器 ,以 下 哪 一 项 描述 是 错误 的 ? (。”) 
A. 鉴别 过 程 中 相互 交换 的 鉴别 信息 通常 封装 成 RADIUS 消息 
B. 交换 机 和 鉴别 服务 器 都 需要 配置 交换 机 与 鉴别 服务 器 之 间 的 共享 密 钥 
C. 交换 机 和 鉴别 服务 器 都 需要 配置 对 方 的 IP 地 址 
D. 交换 机 需要 对 发 送 的 RADIUS 消息 进行 数字 签名 
答案 : D 
【分 析 】 交换 机 和 鉴别 服务 器 通过 它们 之 间 的 共享 密 钥 实现 源 端 鉴别 。 
(24) 如 果 直 接连 接 在 某 个 交换 机 端口 的 终端 已 经 成 功 完成 802. 1X 接 入 控制 过 程 ， 
则 以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 删除 交换 机 端口 与 终端 之 间 的 连接 线 , 该 端口 的 访问 控制 列表 中 删除 该 终 
端的 MAC 地 址 
B. 终端 长 时 间 不 发 送 MAC 帧 ,该 端口 的 访问 控制 列表 中 删除 该 终端 的 MAC 
地 址 
C. 终端 通过 客户 端 程序 完成 退出 过 程 , 该 端口 的 访问 控制 列表 中 删除 该 终端 
的 MAC 地 址 
D. 终端 发 送 数据 的 速率 超过 阔 值 ,该 端口 的 访问 控制 列表 中 删除 该 终端 的 
MAC 地 址 
答案 : D 
【分 析 】 802. 1X 接 入 控制 过 程 本 身 没 有 带宽 控制 功能 ,只 要 使 用 终端 的 用 户 是 授权 
用 户 , 量 终端 一 直 在 线 ,连接 该 终端 的 交换 机 端口 的 访问 控制 列表 中 一 直 存在 该 终端 的 
MAC 地 址 。 在 线 是 指 终端 与 交换 机 端口 之 间 的 物理 连接 一 直 存 在 , 且 终 端 没有 长 时 间 
不 发 送 MAC 帧 。 
(25) 关于 以 太 网 防御 DHCP 欺骗 攻击 机 制 ,以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 终端 对 DHCP 响应 消息 进行 源 端 鉴别 
B. 交换 机 端口 对 应 的 访问 控制 列表 中 配置 允许 接 人 的 DHCP 服务 器 的 MAC 
地 址 
C. 交换 机 只 继续 转发 从 信任 端口 接收 到 的 DHCP 响应 消息 
D. 交换 机 对 DHCP 服务 器 进行 身份 鉴别 
答案 : C 
【分 析 】 交换 机 端口 配置 成 信任 端口 和 非 信任 端口 ,交换 机 只 继续 转发 从 信任 端口 
接收 到 的 DHCP 响应 消息 。 
(26) 关于 DHCP 侦 听 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 交换 机 记录 下 DHCP 请 求 消息 中 的 MAC 地 址 ,接收 DHCP 请 求 消息 的 端 
口号 及 端口 所 属 的 VLAN 等 信息 
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B. 交换 机 根据 从 信任 端口 接收 到 的 DHCP 响应 消息 中 的 MAC 地 址 匹配 相应 
项 ,覆盖 相应 项 中 的 IP 地 址 等 
C. 终端 自动 获取 网 络 信息 后 ,交换 机 自动 记录 该 终端 的 IP 地 址 和 MAC 地 
址 对 
D. 交换 机 根据 封装 DHCP 消息 的 MAC 帧 的 源 和 目的 MAC 地 址 确定 DHCP 
请 求 消息 和 响应 消息 
答案 : D 
【分 析 】 将 DHCP 消息 封装 成 UDP 报 文 ,交换 机 根据 UDP 报 文 的 源 和 目的 端口 号 
确定 是 DHCP 消息 ,通过 分 析 DHCP 消息 的 首部 字段 确定 是 请 求 消息 或 响应 消息 。 
(27) 关于 以 太 网 防御 ARP 欺骗 攻击 机 制 , 以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 终端 对 ARP 报 文 进行 源 端 鉴别 
B. 交换 机 端口 对 应 的 访问 控制 列表 中 配置 该 端口 直接 连接 的 终端 的 MAC 
地 址 
C. 交换 机 在 DHCP 侦 听 信息 库 中 匹配 ARP 报 文中 的 IP 地 址 和 MAC 地 址 对 
D. 交换 机 只 继续 转发 从 信任 端口 接收 到 的 ARP 报 文 
答案 : C 
【分 析 】 只 要 交换 机 启动 DHCP 侦 听 功能 , 且 终 端 通过 DHCP 自动 获取 网 络 信息 ， 
交换 机 DHCP 侦 听 库 中 自动 记录 下 该 终端 的 IP 地 址 和 MAC 地 址 对 。 如 果 ARP 报 文中 
的 全 地 址 和 MAC 地 址 对 无 法 匹配 DHCP 侦 听 库 中 记录 的 所 有 IP 地 址 和 MAC 地址 
对 , 则 表明 该 ARP 报 文中 的 IP 地 址 和 MAC 地 址 对 是 伪造 的 。 
(28) 关于 以 太 网 防御 源 IP 地 址 欺骗 攻击 机 制 ,以 下 哪 一 项 描述 是 正确 的 ?( ) 
A. 用 了 IP 分 组 的 源 IP 地 址 和 封装 该 IP 分 组 的 MAC 帧 的 源 MAC 地 址 匹配 
DHCP 侦 听 信息 库 中 的 IP 地 址 和 MAC 地 址 对 
B. 用 了 P 分 组 的 源 IP 地 址 和 封装 该 IP 分 组 的 MAC 帧 的 目的 MAC 地 址 匹配 
DHCP 侦 听 信息 库 中 的 IP 地 址 和 MAC 地 址 对 
C. 用 IP 分 组 的 目的 IP 地 址 和 封装 该 IP 分 组 的 MAC 帧 的 源 MAC 地 址 匹配 
DHCP 侦 听 信息 库 中 的 IP 地 址 和 MAC 地 址 对 
D. 用 IP 分 组 的 目的 IP 地 址 和 封装 该 IP 分 组 的 MAC 帧 的 目的 MAC 地 址 匹 
配 DHCP 侦 听 信息 库 中 的 耳 地址 和 MAC 地 址 对 
答案 : A 
【分 析 】 如 果 源 IP 地 址 不 是 伪造 的 , 则 DHCP 侦 听 信息 库 中 存在 与 该 了 P 分 组 的 源 
IP 地 址 和 封装 该 了 P 分 组 的 MAC 帧 的 源 MAC 地 址 匹配 的 卫 地 址 和 MAC 地址 对 。 
(29) 以 下 哪 一 项 有 关 生成 树 协议 的 描述 是 错误 的 ? ( 。 ) 
A. 生成 树 协议 允许 网 状 以 太 网 结构 
B. 生成 树 协议 允许 在 存在 环 路 的 以 太 网 中 传输 MAC 帧 
C. 生成 树 协议 通过 阻塞 一 些 交换 机 端口 以 消除 环 路 且 保 证 连通 性 
D. 生成 树 协议 自动 根据 以 太 网 拓扑 结构 变化 调整 交换 机 端口 状态 
答案 : B 
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【分 析 】 生成 树 协议 的 作用 是 将 网 状 以 太 网 转变 成 树 形 以 太 网 ,然后 让 交换 机 在 树 
形 以 太 网 结构 中 转发 MAC 帧 。 
(30) 关于 以 太 网 防御 生成 树 欺骗 攻击 机 制 ,以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 交换 机 对 BPDU 进行 源 端 鉴别 
B. 交换 机 对 发 送 的 BPDU 进行 数字 签名 
C. 交换 机 禁止 连接 终端 的 端口 发 送 接收 BPDU 
D. 交换 机 之 间 相 互 鉴 别 对 方 身份 
答案 : C 
【分 析 】 实施 生成 树 欺骗 攻击 的 前 提 如 下 : 一 是 黑客 终端 用 多 个 接口 连接 多 个 属于 
不 同 交换 机 的 端口 ;二 是 黑客 终端 将 自己 配置 成 优先 级 最 高 的 交换 机 ;三 是 黑客 终端 与 交 
换 机 之 间 正 常 交 换 BPDU。 交 换 机 禁止 连接 终端 的 端口 发 送 接收 BPDU ,使 黑客 终端 与 
交换 机 之 间 无 法 交换 BPDU ,黑客 终端 因而 也 无 法 成 为 生成 树 的 根 网 桥 。 
(31) 关于 虚拟 局 域 网 防御 攻击 的 机 制 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 将 一 个 大 的 广播 域 划 分 为 多 个 相对 小 的 独立 的 广播 域 
B. 使 黑客 终端 和 攻击 目标 不 在 同一 个 广播 域 
C. 每 一 个 VLAN 有 着 独立 的 MAC 表 
D. 不 同 VLAN 之 间 不 能 相互 通信 
答案 : D 
【分 析 】 大 量 攻击 行为 局 限 在 广播 域内 ,因此 ,缩小 广播 域 可 以 缩小 这 些 攻击 的 危害 
范围 。 划 分 VLAN 是 将 一 个 大 的 广播 域 划 分 为 多 个 相对 小 的 独立 的 广播 域 。 不 同 
VLAN 之 间 是 可 以 在 网 际 层 实现 相互 通信 的 。 
(32) 关于 虚拟 局 域 网 防御 攻击 的 功能 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 


t 





A. 缩小 ARP 欺骗 攻击 的 范围 B. 缩小 MAC 表 溢 出 攻击 的 范围 
C. 缩小 MAC 地 址 欺骗 攻击 的 范围 。 D. 缩小 DNS 欺骗 攻击 的 范围 
答案 : D 


【分 析 】 DNS 欺骗 攻击 范围 是 互连网 ,不 是 可 以 通过 划分 VLAN 缩小 的 。 
(33) 以 下 哪 一 项 不 是 划分 VLAN 的 原因 ? (。 ) 

A. 缩小 广播 域 

B. 便于 控制 VLAN 间 交 换 的 数据 

C. 缩小 ARP 欺骗 攻击 的 攻击 范围 

D. 缩小 源 IP 地 址 欺骗 攻击 的 攻击 范围 














答案 : D 

【分 析 】 划分 VLAN 并 不 能 缩小 源 IP 地 址 欺骗 攻击 的 攻击 范围 。 
7.3 名 词 解释 

(1) 访问 控制 列表 


交换 机 端口 对 应 的 MAC 地 址 列表 ,启动 该 交换 机 端口 的 安全 功能 后 ,该 交换 机 端口 
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只 允许 接收 并 转发 源 MAC 地 址 属于 对 应 的 MAC 地 址 列表 的 MAC 帧 。 

(2) 安全 端口 

一 种 自动 建立 访问 控制 列表 的 机 制 ,将 MAC 表 中 针对 某 个 端口 最 先 通过 地 址 学 习 
过 程 学 习 到 的 nn 个 MAC 地 址 作为 该 端口 对 应 的 访问 控制 列表 中 的 个 MAC 地 址 ,n 是 
访问 控制 列表 允许 的 最 大 MAC 地 址 数 。 

(3) 802. 1X 

一 种 只 允许 授权 用 户 使 用 的 终端 接 入 交换 机 端口 的 接 入 控制 协议 ,通常 用 用 户 名 和 
口令 标识 授权 用 户 。 

(4) 防 DHCP 欺骗 攻击 机 制 

一 种 通过 将 交换 机 端口 配置 为 信任 端口 和 非 信任 端口 ,只 允许 信任 端口 接收 DHCP 
响应 消息 ,以 此 防止 伪造 的 DHCP 服务 器 接 入 以 太 网 的 安全 机 制 。 

(5) 防 ARP 欺骗 攻击 机 制 

一 种 通过 在 交换 机 中 建立 所 有 终端 正确 的 IP 地址 和 MAC 地 址 对 ,并 以 此 为 依据 ， 
阻止 包含 错误 的 IP 地 址 和 MAC 地 址 对 的 ARP 报 文 传播 的 安全 机 制 。 

(6) 防 源 全 地 址 欺骗 攻击 机 制 

一 种 通过 在 交换 机 中 建立 所 有 终端 正确 的 IP 地 址 和 MAC 地址 对 ,并 以 此 为 依据 ， 
阻止 IP 分 组 源 IP 地 址 和 封装 该 IP 分 组 的 MAC 帧 的 源 MAC 地 址 不 匹配 的 IP 分 组 继 
续 传 播 的 安全 机 制 。 

(7) 生成 树 协议 

一 种 通过 在 交换 机 之 间 交 换 网 桥 协 议 数据 单元 (BPDU) 阻 塞 形成 环 路 的 交换 机 端 
口 ,从 而 使 网 状 以 太 网 成 为 树 形 以 太 网 的 协议 。 

(8) 防 生 成 树 欺骗 攻击 机 制 

一 种 通过 配置 使 只 允许 实现 交换 机 互 连 的 交换 机 端口 发 送 和 接收 BPDU, 以 此 阻止 
黑客 终端 成 为 生成 树 根 网 桥 的 安全 机 制 。 
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【例题 8.1】 简 述 WEP 的 缺陷 。 

【解析 】 一 是 由 于 密 钥 有 效 期 间 , 所 有 终端 共享 2* 个 一 次 性 密 钥 ,因此 很 容易 通过 
建立 一 次 性 密 钥 字典 破译 密 文 ;二 是 一 旦 黑客 获得 密 钥 , 即 可 破译 经 过 无 线 局 域 网 传输 的 
所 有 密 文 ;三 是 身份 鉴别 机 制 容易 被 黑客 破解 ;四 是 完整 性 检测 机 制 无 法 检测 出 精心 设计 
的 算 改 。 

【例题 8.2】 简 述 802. 11i 与 802. 1X 之 间 的 区 别 与 关系 。 

【解析 】 802. 11i 是 无 线 局 域 网 安全 协议 ,由 三 部 分 内 容 组 成 ,分 别 是 加 密 机 制 、 完 
整 性 检测 机 制 和 鉴别 机 制 。802. 1X 主要 实现 双向 身份 鉴别 和 密 钥 分 配 功能 ,被 作为 
802. 11i 中 的 身份 鉴别 机 制 。 

【例题 8.3】 简 述 TKIP 在 不 分 段 的 情况 下 ,发 送 端 封装 MAC 帧 的 过 程 和 接收 端 完 
成 完整 性 检测 的 过 程 。 

【解析 】 发 送 端 与 接收 端 之 间 已 经 生成 TK ,发 送 端 密 钥 混合 函数 的 输入 是 发 送 端 
地 址 TA、TK 和 TSC ,输出 是 128 位 的 WEP 随机 数 种 子 。 发 送 端 michael 函数 的 输入 是 
MAC 帧 源 和 目的 地 址 .MAC 帧 净 荷 、MIC 密 钥 ,michael 函数 的 输出 是 MIC。 

MAC 帧 净 荷 和 MIC 串 接 在 一 起 ,构成 WEP 数据 段 , 即 WEP 数据 段 =MAC 帧 净 荷 
| MIC。 根据 WEP 数据 段 和 生成 函数 G(X) 计 算出 CRC-32,CRC-32 作为 WEP ICV。 
WEP 伪 随 机 数 生成 器 的 输入 是 128 位 的 WEP 随机 数 种 子 ,输出 是 长 度 等 于 WEP 数据 
段 长 度 十 4 的 一 次 性 密 钥 K。 一 次 性 密 钥 K 和 WEP 数据 段 与 WEP ICV 的 串 接 结 果 进 
行 异 或 运算 ,生成 密 文 (WEP 数据 段 上 | WEP ICV)K。 

接收 端 接 收 到 TKIP MPDU 后 ,根据 TKIP MPDU 的 发 送 端 地 址 TA 找到 与 TA 之 
间 的 TK。 从 TKIP MPDU 中 获取 发 送 端 发 送 的 TSC, 以 发 送 端 地 址 TA、TK 和 TSC 为 
密 钥 混合 函数 的 输入 ,计算 出 128 位 WEP 随机 数 种 子 。 以 128 位 WEP 随机 数 种 子 为 随 
机 数 生成 器 的 输入 ,计算 出 长 度 等 于 密 文 的 一 次 性 密 钥 K, 一 次 性 密 钥 K 和 密 文 进行 异 
或 运算 ,还原 出 WEP 数据 段 和 WEP ICV, 即 密 文 由 K 王 (WEP 数据 段 | WEP ICV) 由 K 
由 K=WEP 数据 段 WEP ICV。 根 据 还 原 出 的 WEP 数据 段 和 生成 函数 G(X) 计 算出 
CRC-32, 如 果 计 算出 的 CRC-32 一 还 原 出 的 WEP ICV ,接收 端 通过 WEP 完整 性 检测 。 
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接收 端 从 WEP 数据 段 中 分 离 出 MAC 帧 净 荷 和 MIC, 以 TKIP MPDU 中 的 源 和 目 
的 地 址 .WEP 数据 段 中 分 离 出 的 MAC 帧 净 荷 和 MIC 密 钥 为 michael 函数 的 输入 ,计算 
出 MIC' ,如 果 MIC' 二 WEP 数据 段 中 分 离 出 的 MIC ,接收 端 通过 TKIP 完整 性 检测 。 

【例题 8.4】 简 述 WEP、WPA 和 WPA-PSK 的 差异 。 

【解析 】 WEP 为 所 有 终端 和 AP 静态 配置 相同 的 密 钥 ,根据 是 否 拥 有 和 AP 相同 的 
密 钥 作 为 判断 该 终端 是 否 是 授权 终端 的 依据 ,用 伪 随 机 数 生成 函数 产生 一 次 性 密 钥 ,24 
位 初始 向 量 和 密 钥 作为 随机 数 种 子 , 所 有 终端 在 密 钥 有 效 期 内 共享 2* 个 一 次 性 密 钥 , 用 
循环 元 余 码 作为 消息 鉴别 码 。 

WPA 为 每 一 个 授权 用 户 单独 配置 身份 标识 信息 ,是 否 能 够 提供 和 某 个 授权 用 户 相 
同 的 身份 标识 信息 作为 判断 该 用 户 是 否 是 授权 用 户 的 依据 ,每 一 个 用 户 身份 鉴别 过 程 中 
生成 独立 的 PMK ,每 一 次 密 钥 分 配 过 程 生成 不 同 的 TK, 每 一 个 终端 对 应 每 一 个 TK 有 
着 24 个 一 次 性 密 钥 ,由 于 TK 只 有 终端 和 AP 知道 ,每 一 个 终端 只 能 解密 AP 发 送 给 它 的 
密 文 。WPA 使 用 比 WEP 安全 性 更 高 的 一 次 性 密 钥 生成 算法 和 消息 鉴别 码 生 成 算法 。 

WPA-PSK 和 WPA 不 同 的 是 WPA-PSK 省 略 了 基于 用 户 的 身份 鉴别 过 程 和 PMK 
动态 生成 过 程 。 所 有 终端 和 AP 静态 配置 相同 的 密 钥 ,通过 静态 配置 的 密 钥 导出 PMK， 
根据 是 否 拥有 和 AP 相同 的 PMK 作为 判断 该 终端 是 否 是 授权 终端 的 依据 。 由 于 TK 计 
算 过 程 中 终端 MAC 地 址 .AP 和 终端 选择 的 随机 数 都 作为 输入 参数 ， sath 
配 过 程 中 AP 和 终端 交换 的 两 个 随机 数 ,否则 某 个 终端 无 法 通过 PMK 推导 出 另 一 个 终 
端的 TK。 但 存在 某 个 终端 通过 嗅 探 到 另 一 个 终端 和 An 
随机 数 ,从 而 推导 出 另 一 个 终端 的 TK 的 可 能 性 ,这 是 WPA-PSK 的 一 个 安全 隐患 。 和 
WPA 为 不 同 用 户 动态 生成 不 同 的 PMK 相 比 ,WPA-PSK 的 安全 性 要 弱 得 多 。 

【例题 8. 5】 简 述 TKIP 和 CCMP 的 差异 。 

【解析 】 一 是 计算 消息 鉴别 码 的 算法 。TKIP 采用 Michael 算法 ,CCMP 采用 AES 
和 加 密 分 组 链接 模式 。 二 是 计算 消息 鉴别 码 时 ,TKIP 除了 净 荷 外 ,只 包括 源 和 目的 终端 
地 址 ,CCMP 包含 MAC 帧 首部 中 所 有 传输 过 程 中 不 变 的 字段 。 三 是 一 次 性 密 钥 计算 方 
法 。TKIP 采用 伪 随 机 数 生成 函数 ,CCMP 采用 AES 和 计数 器 模式 。 四 是 TKIP 使 用 不 
同 的 密 钥 计算 消息 鉴别 码 和 一 次 性 密 钥 ,CCMP 用 同一 个 密 钥 计算 消息 鉴别 码 和 一 次 性 
密 钥 。 
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【例题 8.6】 能 否 通过 简单 改进 WEP 共享 密 钥 鉴别 机 制 , 使 黑客 终端 无 法 通过 嗅 探 
到 的 特定 IV 和 该 IV 对 应 的 一 次 性 密 钥 ,成 功 完成 AP 对 其 的 身份 鉴别 过 程 。 

【解析 】 黑客 终端 通过 AP 鉴别 的 过 程 如 图 8. 1 所 示 , 黑 客 终端 通过 嗅 探 获得 AP 
发 送 的 challenge 和 授权 终端 发 送 的 challenge 由 K 和 IV。 由 于 challengeDKchallenge=K， 
使 黑客 终端 获取 与 challenge 长 度 相同 的 一 次 性 密 钥 K 和 该 一 次 性 密 钥 对 应 的 IV。 

当 AP 鉴别 终端 身份 时 ,判断 终端 是 否 是 授权 终端 的 依据 是 该 终端 是 否 拥有 与 AP 
相同 的 共享 密 钥 ,判断 终端 是 否 拥有 与 AP 相同 的 共享 密 钥 的 依据 是 能 否 生成 一 个 与 
challenge 长 度 相同 的 一 次 性 密 钥 ,但 没有 对 与 该 一 次 性 密 钥 对 应 的 IV 有 任何 要 求 。 导 
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县 鉴别 响应 (challenge) SS 
A 人 、 
A 局 鉴别 请 求 (Y,IV) 
/ 9 一 
| 鉴别 请 求 
鉴别 响应 (challenge7) gy 
\ 局 鉴别 请 求 (YIV) 


\、 黑客 终端 鉴别 响应 (成 功 ) / 


、、 Y=challenge OK 到 
wy K=Y@ challenge 


~~~ Ychallenge@OK __ 2 


图 8.1 黑客 终端 通过 AP 鉴别 的 过 程 


致 黑客 终端 可 以 通过 经 过 嗅 探 获取 的 与 challenge 长 度 相同 的 一 次 性 密 钥 K 和 该 一 次 性 
密 钥 对 应 的 IV, 反 复 证 明 自己 是 授权 终端 。 
改进 后 的 身份 鉴别 过 程 如 图 8. 2 所 示 , 为 了 鉴别 终端 身份 , AP 向 终端 同时 发 送 
challenge 和 IV, 终 端 以 共享 密 钥 和 AP 发 送 的 IV 为 随机 数 种 子 ,生成 与 challenge 长 度 
相同 的 一 次 性 密 钥 K ,计算 出 密 文 Y=challenge 引 区 ,并 将 密 文 YY 和 TIV 发 送 给 AP。AP 
同样 以 共享 密 钥 和 发 送 给 终端 的 IV 作为 随机 数 种 子 ,生成 与 challenge 长 度 相同 的 一 次 
性 密 钥 K 。 如 果 YGK ==challenge, 则 表明 K' = 区。 终端 拥有 与 AP 相同 的 共享 密 钥 。 
对 于 如 图 8. 2 所 示 的 改进 后 的 身份 鉴别 过 程 , 即 使 黑客 终端 嗅 探 到 challenge、Y 和 
IV ,计算 出 该 IV 对 应 的 一 次 性 密 钥 K=Y 中 challenge。 但 当 黑 客 终端 发 起 身份 鉴别 过 程 
时 ,AP 发 送 给 黑客 终端 的 是 challenge' 和 IV', 由 于 黑客 终端 无 法 计算 出 TIV' 对 应 的 一 次 


性 密 钥 K' ,从 而 无 法 生成 密 文 Y' 一 challenge' 四 K' 。 因 此 无 法 向 AP 证 明 拥有 与 AP 相 
同 的 共享 密 钥 。 





2 BSS SS 
4 鉴别 请 求 RS 
/ i 
| 人 一 ， 
上 
\ 局 监 别 请 求 (YJIV) ) 
六 授权 终端 i 


Re Y=challenge OK 一 


图 8.2 改进 后 的 身份 鉴别 过 程 


【例题 8. 7】 如 果 图 8. 3 中 的 无 线 局 域 网 采用 WEP 安全 机 制 , 给 出 黑客 终端 非法 访 
问 内 部 网 络 服务 器 的 全 过 程 。 
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图 8.3 无 线 接 入 网 络 结构 


【解析 】 如 果 黑 客 终端 只 能 嗅 探 无 线 局 域 网 中 传输 的 信息 ,无 法 接 入 内 部 网 络 ,也 
pte Metre eb ale ee 
破解 无 线 局 域 网 中 的 WEP 密 钥 。 


当 MAC 帧 中 净 荷 是 ARP 报 文 或 者 是 IP 分 组 时 , 净 荷 中 有 些 字段 的 值 是 固定 的 , 因 
此 ,可 以 根据 这 些 字段 的 密 文 导出 一 次 性 密 钥 中 这 些 字段 对 应 的 部 分 。 当 嗅 探 到 的 密 文 
足够 多 时 ,有 着 大 量 不 同 的 IV 对 应 的 部 分 一 次 性 密 钥 , 可 以 通过 分 析 软 件 破解 WEP 
密 钥 。 

【例题 8. 8】 假定 存在 以 下 伪 WEP 协议 ,共享 密 钥 为 4 位 , 取 值 1010。IV 为 2 位 ， 
对 应 2 位 IV 的 4 种 组 合 的 4 个 一 次 性 密 钥 如 下 。 

101000: 0010101101010101001011010100100. . . 

101001: 1010011011001010110100100101101. . . 

101010: 0001101000111100010100101001111. . . 

101011: 1111101010000000101010100010111. . . 

假设 所 有 消息 的 长 度 固定 为 8 位 ,ICV 为 4 位 ,ICV 是 消息 的 前 4 位 与 后 4 位 异 或 运 
算 结 果 。 伪 WEP 分 组 包含 3 个 字段 : IV 字段 .消息 字段 和 ICV 字段 ,对 消息 字段 和 ICV 
字段 进行 加 密 。 

(1) 如 果 伪 WEP 协议 在 IV=11 的 条 件 下 发 送 消息 闷 =10100000, 求 出 WEP 分 组 3 
个 字段 的 值 。 

(2) 给 出 接收 端 解密 该 WEP 分 组 、 完 成 消息 完整 性 检测 的 过 程 。 

(3) 如 果 黑 客 截获 了 一 个 WEP 分 组 (IV 值 任意 ) ,并 在 向 接收 端 转 发 该 WEP 分 组 
前 算 改 该 WEP 分 组 ,由 于 黑客 不 知道 共享 密 钥 ,因此 没有 任何 IV 值 对 应 的 一 次 性 密 钥 。 
假定 黑客 翻转 了 ICV 的 第 一 位 , 则 黑客 还 须 翻转 哪些 其 他 位 ,才能 使 接收 端 成 功 完成 完 
整 性 检测 过 程 。 

【解析 】 

(1) 由 于 8 位 消息 m==10100000, 因 此 ,ICV= 二 1010 旬 0000==1010。WEP 分 组 中 IV 
字段 值 为 11, 消 息 密 文 =10100000 田 11111010 二 01011010。ICYV 密 文 =1010 旬 1000= 
0010, 其 中 11111010 是 IV=11 时 对 应 的 一 次 性 密 钥 的 高 8 位 ,1000 是 IV=11 时 对 应 的 
一 次 性 密 钥 的 9 一 12 位 。 

(2) 首先 解密 消息 密 文 和 ICV 密 文 ,消息 =01011010 申 11111010 王 10100000,ICV== 
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0010 田 1000= 二 1010。 然 后 重新 根据 消息 计算 ICV',ICV'==1010 旬 0000==1010, 由 于 ICV'= 
ICV ,接收 端 成 功 通过 完整 性 检测 。 

(3) 假定 8 位 消息 是 mzmemsmamsmzmimo ,4 为 ICV 是 cocicacs 。 由 于 co 一 27 由 ms， 
且 1@o=1@m; 四 ms ,因此 ,在 翻转 了 ICV 的 第 一 位 的 情况 下 ,为 了 保证 完整 性 检测 能 
够 通过 ,或 者 翻转 消息 的 mw; ,或 者 翻转 消息 的 ms 。 

【例题 8.9】 图 8. 4 展示 了 一 个 校园 网 示意 图 ,如 果 允 许 用 户 任意 访问 校内 网 络 资 
源 , 但 必须 对 用 户 访问 Internet 的 过 程 进行 控制 , 则 应 该 如 何 配置 无 线 局 域 网 和 鉴别 服 
务 器 ? 






AP 


图 无 线 局 域 网 ) 呈 二 





路 由 器 


图 8.4 校园 网 结构 


【解析 】 因为 允许 用 户 任意 访问 校内 网 络 资源 ,因此 ,终端 可 以 任意 接 入 无 线 局 域 网 
和 以 太 网 ,AP 设置 为 开放 系统 鉴别 机 制 。 

因为 需要 限制 用 户 访问 Internet 的 过 程 。 因 此 ,路 由 器 接口 1 需要 启动 802. 1X 接 入 控 
制 功 能 ,路 由 器 作为 鉴别 者 ,需要 配置 鉴别 服务 器 的 全 地 址 及 其 与 鉴别 服务 器 之 间 的 共享 
密 钥 。 鉴 别 服务 器 需要 配置 授权 用 户 的 身份 标识 信息 ,如 用 户 名 和 口令 、 鉴 别 者 的 人 地 址 
及 与 鉴别 者 之 间 的 共享 密 钥 。 鉴 别 服务 器 与 不 同 鉴别 者 之 间 的 共享 密 钥 是 不 同 的 。 
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【例题 8. 10】 假定 MAC 帧 长 度 为 200B, 无 线 局 域 网 传输 速率 为 55Mby/s, 求 出 发 送 
完 对 应 IV 所 有 可 能 组 合 的 MAC 帧 所 需 的 时 间 ( 忽 略 MAC 帧 帧 间 间 隔 时 间 ) 。 

【解析 】 发 送 完 对 应 IV 所 有 可 能 组 合 的 MAC 帧 所 需 的 时 间 = 二 2* X ((8X200)/ 
(56X105)) 一 479. 349s。 

【例题 8.11】 在 WEP 安全 机 制 下 ,假定 发 送 端 需要 发 送 的 数据 是 11011,G(X)= 
十 X 十 1(1011) ,发 送 端 和 接收 端 使 用 相同 的 一 次 性 密 钥 11011101, 给 出 算 改 者 成 功 实 
现 算 改 的 过 程 。 

【解析 】 由 于 数据 = 11011, 因 此 M(X)==11011000, R(X)= 二 M(X)/G(X)= 
11011000/1011==001, 即 CRC-3 王 001。 密 文王 11011 001 中 11011 101 王 00000 100。 

假定 用 于 算 改 数据 密 文 的 二 进 制 位 流 ==10101, 得 出 M1(X)==10101000,R1(X)= 
MI1(X)/G(X)==10101000/1011 二 101。 同 时 用 10101 算 改 数据 密 文 ,用 101 算 改 CRC-3 
密 文 , 将 密 文 算 改 为 00000 100 由 10101 101==10101 001。 
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接收 端 根据 自 改 后 的 密 文 还 原 出 的 数据 和 CRC-3 二 10101 001 由 11011 101=01110 
100。 其 中 数据 =01110,CRC-3 王 100。 由 于 数据 =01110, 因 此 M’(X) 二 01110000,R' 
(X)=M(X)/G(X)==01110000/1011==100。 由 于 计算 出 的 R'(X) 与 还 原 后 的 CRC-3 
相同 ,接收 端 认 为 数据 没有 被 自 改 。 


8.2 选择 题 分 析 
(1) 以 下 哪 一 项 是 无 线 局 域 网 最 大 的 问题 ? ( 。 ) 
A. 可 靠 性 低 B. 安全 性 关 
C. 传输 速率 低 D. 移动 通信 能 力 弱 


答案 : B 
【分 析 】 无 线 局 域 网 的 开放 性 导致 无 线 局 域 网 的 安全 性 差 。 
(2) 以 下 哪 一 项 是 无 线 局 域 网 开放 性 带 来 的 安全 问题 (。 ) 


A. 黑客 能 够 轻易 接 入 B. 黑客 能 够 轻易 嗅 探 数据 
C. 传播 的 信号 易 受 干扰 D. A 和 B 
答案 : D 
【分 析 】 任何 能 够 进入 电磁 波 传播 范围 且 具 有 指定 信道 数据 接收 能 力 的 终端 都 可 嗅 
探 经 过 无 线 局 域 网 传输 的 数据 。 
(3) 以 下 哪 一 项 是 频段 开放 性 带 来 的 问题 ?( ) 
A. 方便 侦 听 通信 用 的 电磁 波 B. 方便 解密 无 线 传输 数据 
C. 方便 自 改 无 线 传输 数据 D. 方便 抵赖 无 线 传输 数据 
答案 : A 
【分 析 】 频段 开放 性 使 用 于 实现 无 线 通信 的 电磁 波 频率 是 公开 的 ,因而 很 方便 侦 听 
用 于 实现 无 线 通 信 的 电磁 波 。 
(4) 以 下 哪 一 项 是 空间 开放 性 带 来 的 问题 ? (  ) 
A. 方便 侦 听 通信 用 的 电磁 波 B. 方便 解密 无 线 传输 数据 
C. 方便 自 改 无 线 传输 数据 D. 方便 抵赖 无 线 传输 数据 
答案 : A 
【分 析 】 空间 开放 性 使 实现 无 线 通 信 的 电磁 波 无 法 局 限 在 某 个 物理 空间 内 ,因而 很 
方便 侦 听 用 于 实现 无 线 通信 的 电磁 波 。 
(5) 以 下 哪 一 项 不 是 无 线 局 域 网 容易 发 生 的 安全 问题 ? ( ) 
A. 嗅 探 和 流量 分 析 B. 重 放 攻 击 
C. 伪造 AP D. ARP 欺骗 攻击 
答案 : D 


【分 析 】 某 个 终端 可 以 很 方便 地 嗅 探 同一 基本 服务 区 (BSA) 中 其 他 终端 之 间 传 输 的 
数据 ,从 而 可 以 很 方便 地 实施 重 放 攻击 。ARP 欺骗 攻击 是 所 有 需要 建立 IP 地 址 与 MAC 
地 址 之 间 绑 定 关系 的 传输 网 络 所 面临 的 共同 问题 ,不 是 无 线 局 域 网 特有 的 ,也 不 是 无 线 局 
域 网 特别 容易 发 生 的 。 
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(6) 以 下 哪 一 项 不 是 无 线 局 域 网 具有 的 安全 功能 ? (。 ) 


A. 接 入 控制 B. 加 密 
C. 完整 性 检测 D. 数字 签名 和 源 端 检测 
答案 : D 


【分 析 】 对 于 存在 AP 的 基本 服务 集 ,完成 接 人 控制 过 程 后 ,AP 主要 通过 MAC 帧 
的 源 MAC 地 址 ,或 MAC 帧 的 目的 MAC 地 址 确定 是 否 转发 该 MAC 帧 。 
(7) 关于 WEP, 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 用 循环 元 余 码 检测 数据 完整 性 
B. 伪 随 机 数 生成 算法 作为 产生 一 次 性 密 钥 的 单 向 函数 
C. 采用 流 密 码 体制 
D. 一 次 性 密 钥 不 会 重复 
答案 : D 
【分 析 】 由 于 所 有 终端 共享 2* 个 一 次 性 密 钥 , 因 此 很 容易 导致 一 次 性 密 钥 重 复 
使 用 。 
(8) 关于 WEP 加 密 , 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 终端 和 AP 必须 具有 相同 的 密 钥 K 
B. 为 了 同步 一 次 性 密 钥 ,发 送 端 需要 向 接收 端 发 送 IV 明文 
C. 黑客 无 法 通过 嗅 探 经 过 无 线 网 络 传输 的 信息 获得 密 钥 K 
D. 黑客 无 法 破译 嗅 探 到 的 经 过 无 线 网 络 传输 的 密 文 
答案 : D 
【分 析 】 黑客 一 旦 建立 一 次 性 密 钥 字 典 , 就 可 以 通过 IV 检索 出 对 应 的 一 次 性 密 钥 ， 
并 用 该 一 次 性 密 钥 破译 密 文 。 
(9) 关于 WEP 加 密 机 制 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 共享 密 钥 是 授权 接 入 BSS 的 授权 标识 符 
B. 共享 密 钥 长 度 可 以 是 40 位 或 者 104 位 
C. 一 次 性 密 钥 的 数量 与 共享 密 钥 长 度 无 关 
D. 一 次 性 密 钥 的 长 度 等 于 共享 密 钥 的 长 度 
答案 : D 
【分 析 】 一 次 性 密 钥 长 度 等 于 需要 加 密 的 明文 的 长 度 ,与 共享 密 钥 长 度 无 关 。 
(10) 关于 WEP 完整 性 检测 机 制 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. ICV 是 根据 MAC 帧 中 数据 计算 出 的 CRC-32 
B. 经 过 无 线 网 络 传输 的 是 加 密 MAC 帧 中 数据 后 生成 的 数据 密 文 
C. 经 过 无 线 网 络 传输 的 是 加 密 ICV 后 生成 的 ICV 密 文 
D. 能 够 检测 出 对 数据 密 文 进行 的 任何 自 改 
答案 : D 
【分 析 】 假定 数据 密 文 是 CD,ICV 密 文 是 CI, 如果 进 行 以 下 算 改 过 程 : 找 出 一 个 和 
数据 密 文 长 度 相同 的 数据 M, 将 数据 密 文 改 为 Y1 一 CD 四 M, 将 ICV 密 文 改 为 Y2=CI 引 
(M/G(X)), 其 中 M/G(X) 是 根据 数据 M 计算 出 的 CRC-32, 则 接收 端 将 检测 不 出 已 经 发 
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生 的 自 改 。 


(11) 关于 WEP 鉴别 机 制 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 


答案 : 


A. 共享 密 钥 是 授权 终端 接 人 的 授权 标识 符 

B. AP 通过 判断 终端 能 和 否 计算 出 特定 IV 下 的 一 次 性 密 钥 判断 终端 是 否 拥有 
共享 密 钥 

C. 通过 嗅 探 可 以 获取 特定 IV 下 的 一 次 性 密 铀 

D. 通过 嗅 探 可 以 获取 共享 密 钥 

D 


【分 析 】 通过 嗅 探 可 以 获得 特定 IV 和 该 IV 对 应 的 一 次 性 密 钥 ,但 无 法 根据 IV 和 
该 IV 对 应 的 一 次 性 密 钥 导出 共享 密 钥 。 


(12) 


答案 : 


以 下 哪 一 项 不 属于 WEP 的 缺陷 ? ( 。 ) 

A. 所 有 终端 配置 相同 的 密 钥 

B. 在 密 钥 不 变 的 情况 下 ,只 有 2” 个 一 次 性 密 钥 
C. 循环 元 余 码 用 于 完整 性 检测 

D. 使 用 流 密码 体制 

D 


【分 析 】 流 密码 体制 本 身 没 有 安全 缺陷 。 


(13) 


以 下 哪 一 项 不 是 建立 关联 的 先决 条 件 ? ) 
A. AP 与 该 终端 之 间 完 成 信道 同步 过 程 

B.AP 完成 对 该 终端 的 身份 鉴别 过 程 

C. AP 具有 的 资源 允许 该 终端 接 入 BSS 

D. AP 的 访问 控制 列表 中 有 该 终端 的 MAC 地 址 


答案 : D 
【分 析 】 有 些 厂家 的 AP 支持 基于 MAC 地 址 的 鉴别 机 制 , 即 事先 将 允许 接 入 BSS 


的 终端 的 


MAC 地 址 配置 到 AP 的 访问 控制 列表 中 ,但 这 种 鉴别 机 制 并 不 是 WEP 的 鉴别 


机 制 。 因 此 ,完成 终端 身份 鉴别 过 程 并 不 意味 着 AP 的 访问 控制 列表 中 有 该 终端 的 MAC 


地 址 。 
(14) 


答案 


关于 WEP 鉴别 机 制 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 

A. AP 发 送 固定 长 度 的 challenge 

B. 终端 发 送 的 密 文 C= 二 challenge 田 一 次 性 密 钥 有 

C. 黑客 终端 可 以 计算 出 一 次 性 密 钥 民 二 密 文 C 中 challenge 

D. 黑客 终端 可 以 反复 通过 一 次 性 密 钥 K 解密 终端 发 送 的 数据 密 文 


:D 


【分 析 】 每 一 个 不 同 的 IV 对 应 着 不 同 的 一 次 性 密 钥 ,而 且 解 密 数据 密 文 的 一 次 性 
密 钥 长 度 必须 等 于 数据 密 文 的 长 度 。 因 此 ,特定 IV 对 应 的 、 固 定 长 度 的 一 次 性 密 钥 很 难 
用 于 解密 数据 密 文 。 


(15) 


关于 WEP 加 密 机 制 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 所 有 终端 共享 2* 个 一 次 性 密 钥 
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生 的 自 改 。 


(11) 关于 WEP 鉴别 机 制 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 


答案 : 


A. 共享 密 钥 是 授权 终端 接 人 的 授权 标识 符 

B. AP 通过 判断 终端 能 和 否 计算 出 特定 IV 下 的 一 次 性 密 钥 判断 终端 是 否 拥有 
共享 密 钥 

C. 通过 嗅 探 可 以 获取 特定 IV 下 的 一 次 性 密 铀 

D. 通过 嗅 探 可 以 获取 共享 密 钥 

D 


【分 析 】 通过 嗅 探 可 以 获得 特定 IV 和 该 IV 对 应 的 一 次 性 密 钥 ,但 无 法 根据 IV 和 
该 IV 对 应 的 一 次 性 密 钥 导出 共享 密 钥 。 


(12) 


答案 : 


以 下 哪 一 项 不 属于 WEP 的 缺陷 ? ( 。 ) 

A. 所 有 终端 配置 相同 的 密 钥 

B. 在 密 钥 不 变 的 情况 下 ,只 有 2” 个 一 次 性 密 钥 
C. 循环 元 余 码 用 于 完整 性 检测 

D. 使 用 流 密码 体制 

D 


【分 析 】 流 密码 体制 本 身 没 有 安全 缺陷 。 


(13) 


以 下 哪 一 项 不 是 建立 关联 的 先决 条 件 ? ) 
A. AP 与 该 终端 之 间 完 成 信道 同步 过 程 

B.AP 完成 对 该 终端 的 身份 鉴别 过 程 

C. AP 具有 的 资源 允许 该 终端 接 入 BSS 

D. AP 的 访问 控制 列表 中 有 该 终端 的 MAC 地 址 


答案 : D 
【分 析 】 有 些 厂家 的 AP 支持 基于 MAC 地 址 的 鉴别 机 制 , 即 事先 将 允许 接 入 BSS 


的 终端 的 


MAC 地 址 配置 到 AP 的 访问 控制 列表 中 ,但 这 种 鉴别 机 制 并 不 是 WEP 的 鉴别 


机 制 。 因 此 ,完成 终端 身份 鉴别 过 程 并 不 意味 着 AP 的 访问 控制 列表 中 有 该 终端 的 MAC 


地 址 。 
(14) 


答案 


关于 WEP 鉴别 机 制 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 

A. AP 发 送 固定 长 度 的 challenge 

B. 终端 发 送 的 密 文 C= 二 challenge 田 一 次 性 密 钥 有 

C. 黑客 终端 可 以 计算 出 一 次 性 密 钥 民 二 密 文 C 中 challenge 

D. 黑客 终端 可 以 反复 通过 一 次 性 密 钥 K 解密 终端 发 送 的 数据 密 文 


:D 


【分 析 】 每 一 个 不 同 的 IV 对 应 着 不 同 的 一 次 性 密 钥 ,而 且 解 密 数据 密 文 的 一 次 性 
密 钥 长 度 必须 等 于 数据 密 文 的 长 度 。 因 此 ,特定 IV 对 应 的 、 固 定 长 度 的 一 次 性 密 钥 很 难 
用 于 解密 数据 密 文 。 


(15) 


关于 WEP 加 密 机 制 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 所 有 终端 共享 2* 个 一 次 性 密 钥 
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生 的 自 改 。 


(11) 关于 WEP 鉴别 机 制 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 


答案 : 


A. 共享 密 钥 是 授权 终端 接 人 的 授权 标识 符 

B. AP 通过 判断 终端 能 和 否 计算 出 特定 IV 下 的 一 次 性 密 钥 判断 终端 是 否 拥有 
共享 密 钥 

C. 通过 嗅 探 可 以 获取 特定 IV 下 的 一 次 性 密 铀 

D. 通过 嗅 探 可 以 获取 共享 密 钥 

D 


【分 析 】 通过 嗅 探 可 以 获得 特定 IV 和 该 IV 对 应 的 一 次 性 密 钥 ,但 无 法 根据 IV 和 
该 IV 对 应 的 一 次 性 密 钥 导出 共享 密 钥 。 


(12) 


答案 : 


以 下 哪 一 项 不 属于 WEP 的 缺陷 ? ( 。 ) 

A. 所 有 终端 配置 相同 的 密 钥 

B. 在 密 钥 不 变 的 情况 下 ,只 有 2” 个 一 次 性 密 钥 
C. 循环 元 余 码 用 于 完整 性 检测 

D. 使 用 流 密码 体制 

D 


【分 析 】 流 密码 体制 本 身 没 有 安全 缺陷 。 


(13) 


以 下 哪 一 项 不 是 建立 关联 的 先决 条 件 ? ) 
A. AP 与 该 终端 之 间 完 成 信道 同步 过 程 

B.AP 完成 对 该 终端 的 身份 鉴别 过 程 

C. AP 具有 的 资源 允许 该 终端 接 入 BSS 

D. AP 的 访问 控制 列表 中 有 该 终端 的 MAC 地 址 


答案 : D 
【分 析 】 有 些 厂家 的 AP 支持 基于 MAC 地 址 的 鉴别 机 制 , 即 事先 将 允许 接 入 BSS 


的 终端 的 


MAC 地 址 配置 到 AP 的 访问 控制 列表 中 ,但 这 种 鉴别 机 制 并 不 是 WEP 的 鉴别 


机 制 。 因 此 ,完成 终端 身份 鉴别 过 程 并 不 意味 着 AP 的 访问 控制 列表 中 有 该 终端 的 MAC 


地 址 。 
(14) 


答案 


关于 WEP 鉴别 机 制 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 

A. AP 发 送 固定 长 度 的 challenge 

B. 终端 发 送 的 密 文 C= 二 challenge 田 一 次 性 密 钥 有 

C. 黑客 终端 可 以 计算 出 一 次 性 密 钥 民 二 密 文 C 中 challenge 

D. 黑客 终端 可 以 反复 通过 一 次 性 密 钥 K 解密 终端 发 送 的 数据 密 文 


:D 


【分 析 】 每 一 个 不 同 的 IV 对 应 着 不 同 的 一 次 性 密 钥 ,而 且 解 密 数据 密 文 的 一 次 性 
密 钥 长 度 必须 等 于 数据 密 文 的 长 度 。 因 此 ,特定 IV 对 应 的 、 固 定 长 度 的 一 次 性 密 钥 很 难 
用 于 解密 数据 密 文 。 


(15) 


关于 WEP 加 密 机 制 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 所 有 终端 共享 2* 个 一 次 性 密 钥 
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B. 共享 密 钥 不 变 , 指 定 长 度 的 2* 个 一 次 性 密 钥 不 变 
.容易 建立 2* 种 IV 组 合 与 指定 长 度 下 的 2* 个 一 次 性 密 钥 之 间 的 对 应 关系 
D. 可 以 通过 2* 种 IV 组 合 与 指定 长 度 下 的 2* 个 一 次 性 密 钥 之 间 的 对 应 关系 
导出 共享 密 钥 
答案 : D 
【分 析 】 随 着 无 线 局 域 网 传输 速率 的 提高 ,发 送 完 2* 种 IV 组 合 对 应 的 .有 着 固定 数 
据 长 度 的 2* 个 MAC 帧 所 需要 的 时 间 越 来 越 短 ,因此 ,很 容易 建立 2* 种 IV 组 合 与 指定 
长 度 下 的 2 个 一 次 性 密 钥 之 间 的 对 应 关系 。 但 无 法 通过 2* 种 IV 组 合 与 指定 长 度 下 的 
24 个 一 次 性 密 钥 之 间 的 对 应 关系 导出 共享 密 钥 。 
(16) 关于 WEP 完整 性 检测 机 制 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. ICV 是 根据 MAC 帧 中 数据 计算 出 的 CRC-32 
B. 如 果 R1 是 根据 数据 Ml 计算 出 的 CRC-32,R2 是 根据 数据 M2 计算 出 的 
CRC-32, 则 RIR2 是 根据 数据 MI 四 M2 计算 出 的 CRC-32 
C. 如 果 R1 是 根据 数据 M1 计算 出 的 CRC-32, 且 M1 长 度 等 于 数据 密 文 长 度 ， 
则 无 法 检测 出 以 下 算 改 : 数据 密 文 四 M1 和 ICV 密 文中 R1 
D. 可 以 将 数据 明文 复 改 为 任意 值 
答案 : D 
【分 析 】 可 以 将 数据 密 文 算 改 为 任意 值 ,但 在 不 知道 一 次 性 密 钥 的 情况 下 ,无 法 建立 
数据 明文 与 数据 密 文 之 间 的 对 应 关系 ,因此 ,无 法 将 数据 明文 算 改 为 指定 值 。 
(17) 关于 静态 密 钥 管理 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 所 有 终端 有 着 相同 的 共享 密 钥 
B. 共享 密 钥 不 变 ,指定 长 度 的 22 个 一 次 性 密 钥 不 变 
C. 基于 终端 的 接 入 控制 机 制 
D. 黑客 容易 猜 出 共享 密 钥 
答案 : D 
【分 析 】 只 要 配置 的 共享 密 钥 足 够 复杂 和 随机 ,知道 共享 密 钥 的 人 员 不 泄露 共享 密 
钥 , 黑 客 猜 出 共享 密 钥 是 比较 困难 的 。 
(18) 关于 802. 11i 加密 机 制 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 每 一 个 授权 接 入 的 用 户 与 AP 之 间 有 着 独立 的 共享 密 钥 
B. 每 一 个 授权 接 入 的 用 户 与 AP 之 间 有 着 2* 个 一 次 性 密 钥 
C. 授权 接 入 的 用 户 每 一 次 接 入 时 动态 生成 与 AP 之 间 的 共享 密 钥 
D. 同一 授权 用 户 通过 不 同 的 终端 接 入 生成 相同 的 与 AP 之 间 的 共享 密 钥 
答案 : D 
【分 析 】 在 802. 11i 加 密 机 制 下 ,授权 用 户 用 不 同 的 终端 接 入 时 ,生成 不 同 的 与 AP 
之 间 的 共享 密 钥 。 授 权 用 户 用 同一 个 终端 接 入 时 ,每 一 次 接 入 都 生成 不 同 的 与 AP 之 间 
的 共享 密 钥 。 
(19) 关于 802. 11i 完整 性 检测 机 制 , 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 802.11i 的 完整 性 检验 值 具有 单 向 性 


中 
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B. 802. 11i 的 完整 性 检验 值 具有 抗 碰撞 性 
C. 发 送 端 传输 的 是 加 密 完 整 性 检验 值 后 生成 的 消息 鉴别 码 
D. 消息 鉴别 码 是 HMAC-SHA-1-96 
答案 : D 
【分 析 】 虽然 计算 802. 11i 完整 性 检验 值 的 算法 具有 报 文摘 要 算法 的 特性 , 且 发 送 
端 传输 的 是 加 密 完整 性 检验 值 后 生成 的 消息 鉴别 码 。 但 802. 11i 生成 消息 鉴别 码 的 算法 
不 是 HAMC-SHA-1 ,消息 鉴别 码 的 位 数 也 不 是 96 位 。 
(20) 关于 802. 11i 身份 鉴别 机 制 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 基于 用 户 的 身份 鉴别 机 制 
B. 双向 身份 鉴别 机 制 
C. 其 他 终端 无 法 通过 嗅 探 获得 鉴别 信息 
D. 一 律 用 证 书 十 私 钥 作为 用 户 和 AP 的 身份 标识 信息 
答案 : D 
【分 析 】 在 一 般 情况 下 ,用 用 户 名 和 口令 作为 用 户 身 份 标识 信息 。 由 于 用 户 名 和 口 
令 只 有 授权 用 户 和 鉴别 者 知道 ,因此 ,双方 可 以 通过 判别 对 方 是 否 知道 某 个 授权 用 户 的 用 
户 名 和 口令 确定 对 方 身份 。 当 然 ,前 提 条 件 是 鉴别 过 程 双方 不 直接 交换 用 户 名 和 口令 。 
(21) 关于 TKIP, 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 仍然 是 流 密码 体制 
B. 采用 Michael 算法 计算 消息 鉴别 码 
C. 在 TK 不 变 的 情况 下 ,每 一 个 终端 拥有 2 个 一 次 性 密 钥 
D. 如果 一 些 终端 的 TK 相同 , 则 这 些 终端 共享 2 个 一 次 性 密 角 
答案 : D 
【分 析 】 TKIP 计算 一 次 性 密 钥 时 ,发 送 端 MAC 地 址 是 其 中 一 个 参数 ,因此 ,在 相同 
TK 下 ,不 同 的 发 送 端 MAC 地 址 对 应 着 不 同 的 一 次 性 密 钥 集 。 
(22) 关于 TKIP 加 密 机 制 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 授权 用 户 每 一 次 接 入 生成 不 同 的 与 AP 之 间 的 临时 密 钥 TK 
B. 48 位 TSC 参与 一 次 性 密 钥 计算 过 程 
C. 其 他 条 件 不 变 的 情况 下 ,2s 种 TSC 组 合 对 应 2 个 不 同 的 一 次 性 密 铀 
D. 只 有 TK 和 TSC 参与 一 次 性 密 钥 计算 过 程 
答案 : D 
【分 析 】 发 送 端 地 址 TA、TK 和 TSC 一 起 参与 一 次 性 密 钥 计 算 过 程 。 因 此 ,每 一 个 
终端 有 着 独立 的 2s 个 不 同 的 一 次 性 密 钥 。 用 户 每 一 次 接 人 有 着 独立 的 2* 个 不 同 的 一 次 
性 密 钥 。 
(23) 关于 TKIP 加 密 数 据 过 程 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 两 级 密 钥 混合 函数 的 输入 是 TA、TK 和 TSC, 输 出 是 128 位 WEP 随机 数 
种 子 
B. 128 位 WEP 随机 数 种 子 相当 于 WEP 的 104 位 共享 密 钥 和 24 位 TV 
C. 由 WEP 的 伪 随 机 数 生成 器 根据 128 位 WEP 随机 数 种 子 生 成 一 次 性 密 钥 
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D. 一 次 性 密 钥 长 度 二 MAC 帧 净 荷 长 度 十 MIC 长 度 
答案 : D 
【分 析 】 如 果 没 有 分 段 , 则 数据 长 度 =MAC 帧 净 荷 长 度 十 MIC 长 度 , 则 一 次 性 密 钥 
长 度 = 数 据 长 度 十 4。 如 果 分 段 , 则 一 次 性 密 钥 长 度 = 分 段 后 的 数据 段 长 度 十 4。 长 度 单 
位 为 字 节 。 
(24) 关于 TKIP 完整 性 检测 机 制 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 计算 消息 完整 性 编码 的 Michael 算法 具有 报 文摘 要 算法 的 特性 
B. 计算 消息 完整 性 编码 时 需要 输入 MIC 密 钥 
C. 实现 完整 性 检测 的 内 容 包括 MAC 帧 净 荷 . 源 和 目的 MAC 地 址 
D. 发 送 端 直接 发 送 消息 完整 性 编码 
答案 : D 
【分 析 】 消息 完整 性 编码 和 MAC 帧 净 荷 构成 数据 ,对 数据 用 一 次 性 密 钥 加 密 后 生 
成 密 文 ,发 送 端 发 送 的 是 密 文 。 
(25) 关于 CCMP 加 密 数 据 过 程 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 128 位 AES 输入 包括 48 位 PN 和 48 位 发 送 端 地 址 
B. 128 位 AES 输出 是 一 次 性 密 钥 的 一 部 分 
C. TK 是 AES 加 密 密 钥 
D. 一 次 性 密 钥 长 度 = 数 据 长 度 
答案 : D 
【分 析 】 CCMP 生成 的 一 次 性 密 钥 长 度 等 于 数据 长 度 十 MIC 长 度 。 
(26) 关于 CCMP 完整 性 检测 过 程 ,以 下 哪 一 项 描述 是 错误 的 ?> (  ) 
A. 将 需要 完整 性 检测 的 信息 分 段 , 数 据 段 长 度 二 128 位 
B. 采用 AES 加 密 算法 ,TK 作为 加 密 密 钥 
C. 对 数据 段 进行 加 密 分 组 链接 运算 
D. 加 密 分 组 链接 运算 的 结果 是 MIC 
答案 : D 
【分 析 】 加 密 分 组 链接 运算 的 结果 是 最 后 一 级 AES 的 输出 ,长 度 为 128 位 。 取 其 高 
64 位 和 生成 的 一 次 性 密 钥 的 最 高 64 位 进行 异 或 运算 , 异 或 运算 结果 才 是 MIC。 
(27) 关于 CCMP, 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 消息 鉴别 码 计算 过 程 中 包含 MAC 帧 首部 中 传输 过 程 中 不 变 的 字段 
B. 消息 鉴别 码 计算 过 程 中 使 用 AES 加 密 算法 和 加 密 分 组 链接 模式 
C. 一 次 性 密 钥 计算 过 程 中 使 用 AES 加 密 算法 和 计数 器 模式 
D. 使 用 AES 加 密 算法 和 加 密 分 组 链接 模式 加 密 分 组 后 的 数据 
答案 : D 
【分 析 】 一 次 性 密 钥 计算 过 程 中 使 用 AES 加 密 算法 和 计数 器 模式 ,但 仍然 通过 用 一 
次 性 密 钥 和 数据 的 异 或 操作 完成 数据 加 密 过 程 。 
(28) 关于 802. 1X 密 钥 生成 过 程 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 如 果 用 用 户 名 和 口令 作为 用 户 身份 标识 信息 , 则 通过 口令 导出 PMK 
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B. 通过 PMK 终端 和 AP 的 MAC 地 址 ,终端 和 AP 生成 的 随机 数 导 出 PTK 
C. PTK 中 至 少 包含 TK 
D. TKIP 和 CCMP 的 PTK 是 相同 的 
答案 : D 
【分 析 】 TKIP 和 CCMP 的 PTK 是 不 同 的 ,因为 对 于 TKIP,TK 和 MIC 密 钥 是 不 
同 的 密 钥 。 对 于 CCMP, 加 密 数 据 和 生成 MIC 时 使 用 同一 个 密 钥 TK。 
(29) 关于 WPA2 个 人 模式 密 钥 生成 过 程 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 用 户 终 端 和 AP 配置 8~63 个 字符 长 度 的 密 钥 
B. 用 户 终端 和 AP 通过 配置 的 密 钥 导出 256 位 PSK 
C. 终端 和 AP 直接 将 256b 长 度 的 PSK 作为 PMK 
D. WPA2 个 人 模式 只 支持 TKIP 
答案 : D 
【分 析 】 WPA2 个 人 模式 和 802. 11i 相 比 ,一 是 身份 鉴别 过 程 不 同 ,二 是 导出 PMK 
的 机 制 不 同 ,加 密 和 完整 检测 机 制 是 相同 的 ,因此 ,同时 支持 TKIP 和 CCMP 加 密 和 完整 
性 检测 机 制 。CCMP 也 称 为 AES 加 密 和 完整 性 检测 机 制 。 
(30) 关于 802. 11i 的 安全 性 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 不 同 的 授权 用 户 有 着 不 同 的 与 AP 之 间 的 TK 
B. 任何 授权 用 户 无 法 解密 其 他 授权 用 户 与 AP 之 间 传输 的 密 文 
C. 计算 包含 TK 的 PTK 的 输入 是 PMK 终端 和 AP 的 MAC 地 址 、 终 端 和 
AP 生成 的 随机 数 
D. 不 同 授权 用 户 有 着 不 同 的 TK 是 因为 终端 的 MAC 地 址 和 终端 选择 的 随机 
数 不 同 
答案 : D 
【分 析 】 因为 PMK 是 根据 授权 用 户 身份 标识 信息 导出 的 ,因此 ,不 同 授权 用 户 导出 
的 PMK 不 同 , 这 是 保证 任何 授权 用 户 无 法 解密 其 他 授权 用 户 与 AP 之 间 传 输 的 密 文 的 
关键 。 
(31) 关于 WPA2 个 人 模式 的 安全 性 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 不 同 终端 有 着 不 同 的 与 AP 之 间 的 TK 
B. 计算 包含 TK 的 PTK 的 输入 是 PMK 终端 和 AP 的 MAC 地 址 、 终 端 和 
AP 生成 的 随机 数 
C. 任何 终端 无 法 解密 其 他 终端 与 AP 之 间 传 输 的 密 文 
D. 所 有 授权 接 入 的 终端 有 着 相同 的 PMK 
答案 : C 
【分 析 】 由 于 所 有 授权 接 入 的 终端 有 着 相同 的 PMK , 当 授 权 接 入 的 终端 X 嗅 探 到 
授权 接 入 的 终端 Y 与 AP 之 间 双 向 身份 鉴别 过 程 中 相互 交换 的 消息 时 ,可 以 获取 终端 Y 
和 AP 的 MAC 地址 ,终端 Y 和 AP 生成 的 随机 数 ,从 而 可 以 导出 终端 Y 与 AP 之 间 的 
TK。 因 而 可 以 解密 终端 Y 与 AP 之 间 传 输 的 密 文 。 
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(32) 以 下 哪 一 项 不 是 WPA2 企业 模式 优 于 WEP 的 地 方 ? (  ) 
A. 基于 用 户 的 接 人 控制 机 制 
B. 基于 用 户 生成 密 钥 
C. 每 一 个 用 户 单独 拥有 2” 个 一 次 性 密 钥 
D. 使 用 流 密码 体制 
答案 : D 
【分 析 】 差别 不 是 流 密码 体制 ,而 是 一 次 性 密 钥 生成 过 程 。 
(33) 下 列 哪 一 项 不 是 WPA-PSK 优 于 WEP 的 地 方 ? (  ) 
A. 所 有 终端 配置 相同 的 密 钥 
B. 采用 更 好 的 完整 性 检测 算法 
C. 每 一 个 终端 单独 拥有 2* 个 一 次 性 密 钥 
D. 鉴别 过 程 更 加 安全 
答案 : A 
【分 析 】 WPA-PSK 同样 要 求 BSS 中 的 所 有 终端 静态 配置 和 AP 相同 的 密 钥 。 
(34) 以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A， WEP 在 密 钥 有 效 期 内 ,所 有 终端 共享 2* 个 一 次 性 密 钥 
B. WPA-PSK 在 密 钥 有 效 期 内 ,每 一 个 终端 单独 拥有 2” 个 一 次 性 密 钥 
C. WPA-PSK 根据 是 否 拥 有 和 AP 相同 的 密 钥 判断 是 否 是 授权 终端 
D. WPA 企业 模式 在 安全 关联 存在 期 间 , 每 一 个 用 户 单独 拥有 2” 个 一 次 性 
密 钥 
答案 : B 
【分 析 】 在 WPA-PSK 下 ,同一 终端 每 一 次 密 钥 分 配 的 过 程 产生 不 同 的 TK ,每 个 终端 
对 应 的 每 一 个 TK 有 着 2* 个 一 次 性 密 钥 ,在 密 钥 有 效 期 内 ,可 以 有 无 数 次 的 密 钥 分 配 过 程 。 
(35) 以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 获取 WEP 密 钥 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
B. 获取 WPA-PSK 密 钥 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
C. 获取 WPA 用 户 身份 标识 信息 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
D. 一 旦 和 AP 成 功 建立 关联 , 便 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
答案 : A 
【分 析 】 WEP 计算 一 次 性 密 钥 的 参数 是 密 钥 K 和 初始 向 量 IV ,初始 向 量 IV 以 明 
文 方式 出 现在 MAC 帧 中 ,因此 ,一 旦 获得 密 钥 K, 则 可 以 计算 出 对 应 任何 初始 向 量 的 一 
次 性 密 钥 。 其 余 三 项 只 能 实现 和 AP 安全 交换 数据 。 


8.3 名 词 解释 
(1) ISM 频段 


工业 、 科 学 和 医疗 所 使 用 的 电磁 波 频段 ,是 为 了 满足 公众 利用 无 线 电 进 行 通 信 的 需 
求 ,允许 公众 自由 使 用 的 开放 电磁 波 频段 。 
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(2) WEP 

一 种 无 线 局 域 网 安全 机 制 , 只 能 实现 AP 对 终端 的 单 向 身份 鉴别 ,用 CRC-32 作为 完 
整 性 检验 值 ,所 有 终端 共享 2* 个 一 次 性 密 钥 。 

(3) ICV 

在 WEP 安全 机 制 下 ,根据 MAC 帧 净 荷 和 生成 函数 G(X) 计 算出 的 CRC-32, 用 于 对 
MAC 帧 净 荷 进行 完整 性 检测 。 

(4) 伪 随 机 数 生成 器 

一 种 函数 模块 ,可 以 根据 输入 的 64 位 或 128 位 随机 数 种 子 , 产 生 任意 长 度 的 一 次 性 
密 钥 。 

(5) 开放 系统 鉴别 机 制 

在 WEP 安全 机 制 下 ,一 种 允许 所 有 终端 接 入 BSS 的 身份 鉴别 机 制 。 

(6) 共享 密 钥 鉴别 机 制 

在 WEP 安全 机 制 下 ,一 种 通过 判断 终端 能 否 计算 出 某 个 IV 对 应 的 有 效 一 次 性 密 钥 
判断 终端 是 否 拥 有 与 AP 相同 的 共享 密 钥 的 身份 鉴别 机 制 。 

(7) 基于 MAC 地 址 鉴别 机 制 

一 种 厂家 普遍 使 用 的 、 只 允许 MAC 地 址 是 访问 控制 列表 中 的 MAC 地 址 的 终端 接 
和 人 BSS 的 身份 鉴别 机 制 。 

(8) 一 次 性 密 钥 字典 

一 种 对 应 2* 种 IV 组 合 ,获取 指定 长 度 的 2* 个 一 次 性 密 钥 ,并 通过 长 度 扩展 , 求 出 不 
同 长 度 下 22 种 IV 组 合 对 应 的 2* 个 一 次 性 密 钥 的 方法 。 

(9) 802. 11i 

一 种 比 WEP 有 着 更 安全 的 身份 鉴别 机 制 . 加 密 机 制 和 完整 性 检测 机 制 的 无 线 局 域 
网 安全 协议 。 

(10) TKIP 

802. 11i 中 使 用 的 加 密 和 完整 性 检测 协议 ,不 同 终端 有 着 不 同 的 与 AP 之 间 的 TK， 
每 一 个 TK 对 应 2“ 个 一 次 性 密 钥 ,通过 与 报 文摘 要 算法 有 着 相似 属性 的 Michael 算法 计 
算 消 息 完整 性 编码 。 

(11) TK 

终端 与 AP 之 间 长 度 为 128 位 的 临时 密 钥 ,在 TKIP 加 密 和 完整 性 检测 机 制 下 ,不 同 
终端 有 着 不 同 的 与 AP 之 间 的 临时 密 钥 。 

(12) MIC 

在 TKIP 加 密 和 完整 性 检测 机 制 下 ,通过 Michael 算法 计算 出 的 .用 于 对 MAC 帧 中 
需要 完整 性 检测 的 信息 进行 完整 性 检测 的 消息 完整 性 编码 。 

(13) TSC 

在 TKIP 加 密 和 完整 性 检测 机 制 下 ,用 于 产生 48 位 参与 一 次 性 密 钥 计算 过 程 的 序号 
的 序号 计数 器 ,2* 种 不 同 的 序号 组 合 对 应 着 2* 个 不 同 的 一 次 性 密 钥 。 

(14) CCMP 

802. 11i 中 使 用 的 加 密 和 完整 性 检测 协议 ,实现 完整 性 检测 时 ,将 需要 完整 性 检测 的 
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信息 分 割 为 长 度 为 128 位 的 数据 段 , 采 用 AES 加 密 算法 ,对 数据 段 进 行 加 密 分 组 链接 运 
算 , 最 后 一 级 运算 结果 中 的 高 64 位 作为 完整 性 检测 码 。 实 现 加 密 时 ,通过 AES 加 密 算法 
产生 任意 长 度 的 一 次 性 密 钥 ,用 一 次 性 密 钥 加 密 数 据 和 完整 性 检测 码 生成 密 文 。 

(15) PN 

在 CCMP 加 密 和 完整 性 检测 机 制 下 ,48 位 参与 一 次 性 密 钥 计算 过 程 的 报 文 编号 ,2* 
种 不 同 的 报 文 编号 组 合 对 应 着 2* 个 不 同 的 一 次 性 密 钥 。 

(16) PMK 

或 者 根据 终端 配置 的 密 钥 ,或 者 根据 用 户 身份 标识 信息 导出 的 256 位 成 对 主 密 钥 ,是 
计算 其 他 密 钥 的 基础 。 

(17) PTK 

通过 PMK ,终端 和 AP 的 MAC 地 址 ,终端 和 AP 生成 的 随机 数 导 出 的 成 对 过 渡 密 
钥 , 其 中 包含 TK 和 其 他 密 钥 。 


(18) KCK 

包含 在 PTK 中 ,128 位 用 于 对 双方 进行 的 密 钥 产 生 过 程 进行 证 实 的 证 实 密 钥 。 
(19) KEK 

包含 在 PTK 中 ,128 位 用 于 加 密 密 钥 产生 过 程 中 传输 的 机 密 信息 的 加 密 密 钥 。 
(20) MIC 密 钥 

包含 在 PTK 中 ,在 TKIP 加 密 和 完整 性 检测 机 制 下 ,128 位 用 于 生成 MIC 的 密 钥 。 
(21) 安全 关联 

需要 进行 身份 鉴别 过 程 并 动态 分 配 临 时 密 钥 TK 的 关联 。 

(22) GMK 

AP 通过 配置 获得 的 广播 主 密 钥 。 

(23) GTK 


通过 GMK、AP 的 MAC 地 址 和 AP 生成 的 随机 数 导 出 的 临时 广播 密 钥 。 

(24) WPA2 企业 模式 

一 种 由 WiFi 联盟 基于 802. 11i 标准 提出 的 安全 机 制 ,采用 基于 用 户 的 身份 鉴别 
机 制 。 

(25) WPA2 个 人 模式 

一 种 由 Wi-Fi 联盟 基于 802. 11i 标准 提出 的 安全 机 制 ,所 有 终端 配置 相同 的 密 钥 , 根 
据 密 钥 导出 256 位 PMK。 由 于 通过 PMK .终端 和 AP 的 MAC 地 址 ,终端 和 AP 生成 的 
随机 数 导出 PTK, 因 此 ,不 同 终端 有 着 不 同 的 与 AP 之 间 的 TK。 
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9.1 例题 解析 


911 简 答 题解 析 


【例题 9.1】 简 述 NAT 的 安全 功能 。 

【解析 】 一 是 由 于 分 配 私有 IP 地 址 的 内 部 网 络 对 于 外 部 网 络 是 透明 的 ,因此 ,连接 
在 外 部 网 络 上 的 黑客 终端 无 法 对 内 部 网 络 终端 发 起 主动 攻击 ;二 是 在 建立 内 部 网 络 私 有 
IP 地 址 和 全 球 IP 地 址 之 间 映 射 前 ,外 部 网 络 终端 无 法 主动 和 内 部 网 络 终端 通信 ,因此 ， 
蠕虫 病毒 很 难 自 动 地 从 外 部 网 络 传播 到 内 部 网 络 ;三 是 由 于 需要 通过 标准 过 滤器 指定 允 
许 进行 地 址 转换 的 内 部 网 络 私有 IP 地 址 范围 ,因此 ,内 部 网 络 终端 无 法 通过 伪造 的 不 存 
在 的 内 部 网 路 地 址 访问 外 部 网 络 服务 器 ,从 而 无 法 对 外 部 网 络 服务 器 实施 SYN 泛 洪 
攻击 。 
912 设计 题解 析 

【例题 9.2】 互连网 结构 如 图 9. 1 所 示 ,给 出 RIP 生成 的 NET1 至 NET2 的 传输 路 
径 。 如 果 要 求 终端 A 与 终端 B 之 间 传输 的 IP 分 组 绕 过 路 由 器 R5 ,给 出 路 由 器 R1 配置 
的 策略 路 由 项 。 

R4 


R1 R2 R3 
Cr BB a 
[ 加 | 








R5 
图 9.1 互连网 结构 


【解析 】 路 由 器 R1 根据 RIP 生成 的 路 由 表 如 图 9.2 所 示 。 
为 了 绕 过 路 由 器 R5, 路 由 器 Rl 配置 以 下 策略 路 由 项 。 





类 : 3 = , 
IP 分 组 分 类 条 件 : 源 亿 地 址 =IP A/32, 目 的 IP RE 
地 址 =IP B/32。 C NETI ”直接 0 
下 一 跳 地 址 : R2 R NET2 R5 2 











【例题 9.3】 在 如 图 9. 3 所 示 的 家 庭 局 域 网 接 图 9.2 R1 路 由 表 
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入 Internet 过 程 中 ,假定 家 庭 局 域 网 中 终端 A 和 终端 BB 分 配 的 私有 IP 地 址 分 别 是 192. 
168. 1.100 和 192. 168. 1. 101 , 当 终端 A 和 终端 B 同 时 访问 Web 服务 器 时 ,给 出 无 线路 
由 器 地 址 转换 表 中 可 能 有 的 地 址 转换 项 。 


























无 线 Web 服 务 器 
三 信道 
终端 C ”终端 D 
192.168.1.0/24 
家 庭 部 分 





1 
1 
1 
1 
1 
1 
1 
| 制 设备 202.3.3.7 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 


图 9.3 家 庭 局 域 网 接 入 Internet 的 结构 


【解析 】 内 部 网 络 终端 访问 外 部 网 络 中 的 Web 服务 器 时 ,需要 用 全 局 唯一 的 端口 号 
标识 内 部 网 络 终端 ,由 于 源 端 口号 具有 本 地 意义 ,因此 ,终端 A 和 终端 B 可 能 选择 相同 的 
源 端口 号 ,如 表 9. 1 所 示 ,终端 A 和 终端 B 选择 相同 的 源 端口 号 1024。 必 须 由 无 线路 由 
器 为 每 一 个 内 部 网 络 终端 分 配 全 局 唯一 的 端口 号 ,并 建立 该 全 局 唯一 的 端口 号 与 对 应 的 
内 部 网 络 终端 私有 IP 地 址 之 间 的 映射 。 因 此 ,在 表 9. 1 中 ,用 全 局 唯一 的 端口 号 1024 标 
识 私 有 IP 地 址 为 192. 168. 1. 100 的 内 部 网 络 终端 ,用 全 局 唯一 的 端口 号 1025 标识 私有 
IP 地 址 为 192. 168. 1. 101 的 内 部 网 络 终端 。 


表 9.1 无 线路 由 器 地 址 转换 表 











协议 Inside Local Inside Global Outside Local Outside Global 
TCP | 192.168.1.100:1024 192.1.1.1:1024 202. 3. 3.7:80 202. 3. 3.7:80 
TCP | 192.168.1.101:1024 192.1.1.1:1025 202. 3. 3.7:80 202. 3. 3.7:80 














【例题 9. 4】 互连网 结构 如 图 9.4 所 示 ,给 出 能 够 实现 终端 A 和 终端 C 之 间 相互 通 
信 的 路 由 器 R1、R2 的 PAT 配置。 

【解析 】 由 于 路 由 器 R1 和 R2 连接 Internet 的 接口 只 分 配 一 个 全 球 IP 地 址 ,需要 
用 全 局 端口 号 唯一 标识 内 部 网 络 终端 。 因 此 ,终端 A 和 终端 C 之 间 只 能 交换 TCP 和 
UDP 报 文 。 

路 由 器 R1 用 全 局 唯一 的 端口 号 8000 标识 终端 A, 如 表 9.2 所 示 。 因 此 ,终端 C 发 
送 的 目的 IP 地 址 为 192. 1. 1. 1 ,协议 类 型 为 TCP 或 UDP, 净 荷 是 目的 端口 号 为 8000 的 
TCP 或 UDP 报 文 的 全 分 组 能 够 到 达 终 端 A。 

路 由 器 R2 用 全 局 唯一 的 端口 号 8000 标识 终端 C, 如 表 9. 3 所 示 。 因 此 ,终端 A 发 
送 的 目的 IP 地 址 为 192.1.2.5, 协 议 类 型 为 TCP 或 UDP, 净 荷 是 目的 端口 号 为 8000 的 
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终端 A 终端 C 
192.168.1.1 192.168.1.1 
MACA MACC 















192.168.1.254 192.1.1.1 192.1.2.5 192.168.1.254 


(全 球 IP 地 址 ) (Ge) €@ MAC R2 


路 由 器 R1 路 由 器 R2 10 1681.0124 
(本 地 IP 地 址 ) 








192.168.1.0/24 








“(本 地 IP 地 址 ) 
终端 B 终端 D 
192.168.1.2 192.168.1.2 
MACB MACD 


图 9.4 互连网 结构 


TCP 或 UDP 报 文 的 了 PP 分 组 能 够 到 达 终 端 C。 
表 9.2 R1l 地 址 转换 表 








协议 Inside Local Inside Global 
TCP 192. 168. 1. 1:8000 192. 1.1.1:8000 
UDP 192. 168. 1. 1:8000 192. 1.1.1:8000 


表 9.3 R2 地 址 转换 表 








协议 Inside Local Inside Global 
TCP 192. 168. 1. 1:8000 192.1.2.5:8000 
UDP 192. 168. 1.1:8000 192.1.2.5:8000 








【例题 9. 5】 对 应 如 图 9. 5 所 示 的 互连网 结构 和 IP 地 址 配置 ,给 出 能 够 实现 终端 A 
与 Web 服务 器 2 .终端 也 与 Web 服务 器 1 之 间 相 互通 信 的 配置 (包括 路 由 器 R1、R2 的 路 










































Ed i 
区 、 
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异 
/ 
/ 192.168.2.0/24 
| 一， Ea 193.1.2.1 '@ CE 
| 3 193.1.2.2 
| 
| 与 Web 服务 器 2 
\ [一 192.168.2.1 
人 
呈 a 中 / i 
/ 192.168.2.2 
\、 内 部 网 络 这 
、 Web 服 务 器 1 一 
SS 192.168.2J- 


图 9.5 互连网 结构 
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由 表 和 PAT 配置 )。 


【解析 】 路 由 器 R1 路 由 表 中 需要 给 出 用 于 指明 通 往 内 部 网 络 各 个 子 网 和 路 由 器 
R2 连接 公共 网 络 的 接口 的 传输 路 径 的 路 由 项 ,如 表 9.4 所 示 。 路 由 器 R2 路 由 表 中 需要 
给 出 用 于 指明 通 往 内 部 网 络 和 路 由 器 R1 连接 公共 网 络 的 接口 的 传输 路 径 的 路 由 项 ,如 


表 9.5 所 示 。 
路 由 器 R1 用 全 局 唯一 的 端口 号 80 标识 Web 服务 器 1, 如 表 9.6 所 示 , 因 此 ,终端 B 


可 以 通过 URL 二 193.1.2. 1 访问 Web 服务 器 1。 同样 ,路 由 器 R2 用 全 局 唯一 的 端口 号 
80 标识 Web 服务 器 2, 如 表 9. 7 所 示 , 因 此 ,终端 A 可 以 通过 URL=193. 1. 2. 2 访问 


Web 服务 器 2。 















































表 9.4 RI1 路 由 表 
目的 网 络 子 网 掩 码 下 一 跳 输出 接口 
192. 168.1.0 255. 255. 255. 0 直接 1 
192. 168. 2.0 255. 255. 255.0 直接 2 
193.1.2.0 255. 255. 255.0 直接 3 
表 9.5 R2 路 由 表 
目的 网 络 子 网 掩 码 下 一 跳 输出 接口 
192, 168. 2.0 255. 255. 255.0 直接 2 
193.1.2.0 255. 255. 255.0 直接 
表 9.6 RI1 地 址 转换 表 
协 议 Inside Local Inside Global 
TCP 192. 168. 2. 1:80 193. 1.2.1:80 
表 9.7 R2 地 址 转换 表 
协 议 Inside Local Inside Global 
TCP 192. 168. 2. 1:80 193. 1.2.2:80 
【例题 9.6】 对 应 如 图 9. 6 所 示 的 互连网 结构 和 IP 地 址 配置 ,给 出 能 够 实现 内 部 网 
Se, 内 部 网 络 Se 
, 92.168.1.024 ~、 交 六 193.13.024 
/ 国 1 人 ioibl2s4 、 193.12.1 193.122 < 193.13.254 ee 里 
1 /全球 IP 地 址 池 
\ Web 服 务 器 1 Web 服 务 器 2 
1 器 器 / 193.1.1.16/28 局 器 193.133 
a EE CE Cl 
i 192.168.1.1 192.168.12 -一 193.1.3.1 193.1.3.2 


图 9.6 互连网 结构 
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络 终端 访问 Web 服务 器 2、 外 部 网 络 终端 访问 Web 服务 器 1 所 需要 的 配置 (包括 路 由 器 
路 由 表 和 路 由 器 Rl 的 NAT 配置 ) 。 

【解析 】 路 由 器 R1 路 由 表 中 需要 给 出 用 于 指明 通 往 内 部 网 络 和 外 部 网 络 各 个 子 网 
的 传输 路 径 的 路 由 项 ,如 表 9.8 所 示 。 路 由 器 R2 路 由 表 中 只 给 出 用 于 指明 通 往外 部 网 
络 各 个 子 网 的 传输 路 径 的 路 由 项 ,如 表 9.9 所 示 。 

对 于 NAT ,为 了 允许 外 部 网 络 终端 访问 内 部 网 络 的 Web 服务 器 1 ,需要 事先 建立 
Web 服务 器 1 的 私有 IP 地址 192. 168. 1. 3 与 全 球 IP 地 址 193. 1. 1. 30 之 间 的 映射 ,如 表 
9. 10 所 示 ,建立 映射 后 ,外 部 网 络 终端 可 以 用 全 球 IP 地 址 193. 1. 1. 30 访问 Web 服务 
器 1。 

内 部 网 络 终端 为 了 能 够 访问 Web 服务 器 2, 需 要 动态 建立 私有 IP 地 址 与 全 球 卫 地 
址 之 间 的 映射 ,如 表 9. 10 所 示 的 私有 IP 地 址 192. 168. 1. 1 与 全 球 IP 地 址 193. 1. 1. 17 
之 间 的 映射 。 

值得 强调 的 是 ,建立 私有 IP 地址 与 全 球 IP 地 址 之 间 的 映射 后 ,外 部 网 络 终端 可 以 通 
过 该 全 球 IP 地 址 向 该 全 球 IP 地 址 对 应 的 内 部 网 络 终端 发 送 任何 净 荷 类 型 的 IP 分 组 。 

















表 9.8 RI 路 由 表 
目的 网 络 子 网 掩 码 下 一 跳 输出 接口 
192. 168.1.0 255. 255. 255. 0 直接 Y 
193.1.2.0 255. 255. 255.0 直接 2 
193.1.3.0 255. 255. 255.0 193, 工 2.2 2 
表 9.9 R2 路 由 表 
目的 网 络 子 网 掩 码 下 一 跳 输出 接口 
193.1.2.0 255. 255. 255. 0 直接 E 
193.1.3.0 255. 255. 255.0 直接 2 











表 9.10 R1 地 址 转换 表 








协 议 Inside Local Inside Global 
IP 192. 168.1.3 193. 1.1.30 
二 192. 168. 1. 1 193.1.1.17 








【例题 9.7】 假定 一 个 企业 需要 将 两 个 内 部 网 络 通 过 无 线路 由 器 接 入 Internet。 完 
成 连接 过 程 和 终端 网 络 信息 配置 过 程 。 

【解析 】 无 线路 由 器 是 一 种 比较 特殊 的 设备 ,一 方面 具有 互 连 内 部 网 络 与 外 部 网 络 、 
实现 内 部 网 络 终端 访问 外 部 网 络 资源 的 功能 。 另 一 方面 ,内 部 网 络 终端 对 外 部 网 络 是 不 
可 见 的 ,对 于 外 部 网 络 中 的 其 他 路 由 器 和 终端 ,无 线路 由 器 等 同 于 一 个 接 人 外 部 网 络 的 终 
端 。 因 此 ,如 果 需 要 将 两 个 内 部 网 络 接 入 Internet, 采 用 如 图 9. 7 所 示 的 连接 方式 ,无 线 
路 由 器 R2 互 连 Internet 和 内 部 网 络 1,LAN 端口 分 配属 于 内 部 网 络 1 的 卫 地 址 , WAN 
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端口 分 配 Internet 全 球 IP 地 址 。 无 线路 由 器 R1 互 连 内 部 网 络 1 和 内 部 网 络 2,LAN 端 
口 分 配属 于 内 部 网 络 2 的 IP 地址 , WAN 端口 分 配属 于 内 部 网 络 1 的 IP 地 址 。 对 于 
Internet 中 的 终端 和 路 由 器 ,内 部 网 络 1 和 内 部 网 络 2 都 是 不 可 见 的 ,图 9.7 中 的 Web 服 
务 器 发 送 给 内 部 网 络 1 和 内 部 网 络 2 的 IP 分 组 都 是 以 路 由 器 R2 连接 Internet 的 端口 
(WAN 端口 ) 的 IP 地 址 为 目的 IP 地 址 。 同 样 , 对 于 内 部 网 络 1 中 的 终端 ,内 部 网 络 2 也 
是 不 可 见 的 ,如 图 9.7 所 示 的 终端 B 发 送 给 内 部 网 络 2 的 全 分 组 是 以 路 由 器 R1 连接 内 
部 网 络 1 的 端口 (WAN 端口 ) 的 IP 地 址 为 目的 IP 地 址 。 

在 图 9.7 展示 的 接 入 网 络 中 ,内 部 网 络 1 和 内 部 网 络 2 中 的 终端 可 以 发 起 访问 
Internet 的 过 程 。 内 部 网 络 2 中 的 终端 可 以 发 起 访问 内 部 网 络 1 的 过 程 ,但 Internet 中 的 
终端 不 能 发 起 访问 内 部 网 络 1 和 内 部 网 络 2 的 过 程 ,内 部 网 络 1 中 的 终端 不 能 发 起 访问 
内 部 网 络 2 的 过 程 。 


T 





、/ 终端 B \ 
1 192.168.1.101/24 1 





了 pe 

i 局 要 

2 

| 192.168.2.101/24 1 192.168.1.124 

\ Tari imemet ) 

\ 192.1682.124 1 、 9 168.1.100/24 

\、 2 \、 2 Web 服 务 器 
NN ,网 部 网 络 和 Wd 、\、 内 部 网 络 1 202.1.1.1 


图 9.7 两 个 内 部 网 络 接 入 Internet 的 过 程 


【例题 9.8】 如 图 9. 8 所 示 ,终端 A 发 起 访问 终端 B 的 过 程 交换 图 中 编号 为 D~@ 
的 IP 分 组 ,IP 分 组 的 传输 顺序 与 编号 一 致 。 终 端 A 发 起 访问 Web 服务 器 的 过 程 交换 图 
中 编号 为 加 一 @ 的 IP 分 组 ,IP 分 组 的 传输 顺序 与 编号 一 致 。 给 出 这 些 IP 分 组 的 源 和 目 
的 IP 地址。 
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图 9.8 卫 分 组 传输 过 程 与 NAT 


【解析 】 如 表 9. 11 所 示 ,编号 四 的 IP 分 组 是 终端 A 传输 给 终端 B, 且 在 内 部 网 络 2 
内 传输 的 卫 分 组 ,该 卫 分 组 的 目的 IP 地址 是 终端 B 的 IP 地 址 , 源 IP 地 址 是 终端 A 的 
JP 地址。 编号 @ 的 IP 分 组 是 终端 A 传输 给 终端 B, 且 在 内 部 网 络 1 内 传输 的 IP 分 组 ， 
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由 于 终端 A 对 于 内 部 网 络 1 是 不 可 见 的 ,因此 ,该 IP 分 组 的 源 IP 地址 转换 为 分 配给 无 线 
路 由 器 R1 的 WAN 端口 的 属于 内 部 网 络 1 的 IP 地 址 192. 168. 1.100。IP 分 组 的 目的 
































IP 地 址 是 终端 B 的 IP 地址 。 
表 9.11 IP 分 组 源 和 目的 IP 地 址 

编 号 源 耳 地址 目的 IP 地 址 
0 192. 168. 2. 101 192. 168. 1. 101 
(@) 192. 168. 1. 100 192. 168. 1. 101 
® 192. 168. 1. 101 192. 168. 1. 100 
@ 192. 168. 1. 101 192. 168. 2. 101 
(@) 192. 168. 2. 101 202.1.1.1 
© 192. 168. 1. 100 202.1.1.1 
O 双 站 二 下 和 202.1.1.1 
20% Ell 192.1.1.1 
9 202.1.1.1 192. 168.1. 100 
0 2 192. 168. 2. 101 








编号 @ 的 IP 分 组 是 终端 也 传输 给 终端 A, 且 在 内 部 网 络 1 内 传输 的 IP 分 组 ,由 于 
终端 A 对 于 内 部 网 络 1 是 不 可 见 的 ,因此 ,该 他 分 组 的 目的 他 地 址 是 分 配给 无 线路 由 
器 Rl 的 WAN 端口 的 属于 内 部 网 络 1 的 IP 地 址 192. 168. 1. 100。IP 分 组 的 源 IP 地 
址 是 终端 B 的 全 地 址 。 编 号 @ 的 全 分 组 是 终端 B 传 输 给 终端 A, 且 在 内 部 网 络 2 内 
传输 的 人 分 组 ,该 他 分 组 的 目的 他 地 址 是 终端 A 的 他 地 址 , 源 他 地 址 是 终端 B 的 
IP 地址。 

编号 @ 的 全 分 组 是 终端 A 传输 给 Web 服务 器 , 且 在 内 部 网 络 2 内 传输 的 IP 分 组 ， 
该 IP 分 组 的 目的 IP 地址 是 Web 服务 器 的 IP 地址 , 源 IP 地 址 是 终端 A 的 IP 地址 。 编 
号 @ 的 IP 分 组 是 终端 A 传输 给 Web 服务 器 , 且 在 内 部 网 络 1 内 传输 的 IP 分 组 ,由 于 终 
端 A 对 于 内 部 网 络 1 是 不 可 见 的 ,因此 ,该 全 分 组 的 源 全 地 址 转换 为 分 配给 无 线路 由 器 
R1 的 WAN 端口 的 属于 内 部 网 络 1 的 IP 地址 192.168.1.100。IP 分 组 的 目的 IP 地 址 
是 Web 服务 器 的 IP 地址 。 编 号 @ 的 IP 分 组 是 终端 A 传输 给 Web 服务 器 , 且 在 Internet 
内 传输 的 IP 分 组 ,由 于 内 部 网 络 1 和 内 部 网 络 2 对 于 Internet 都 是 不 可 见 的 ,因此 ,该 全 
分 组 的 源 IP 地 址 转换 为 分 配给 无 线路 由 器 R2 的 WAN 端口 的 全 球 IP 地 址 192. 1. 1. 1 。 
IP 分 组 的 目的 卫 地 址 是 Web 服务 器 的 卫 地 址 。 

编号 @ 的 全 分 组 是 Web 服务 器 传输 给 终端 A, 且 在 Internet 内 传输 的 IP 分 组 ,由 
于 内 部 网 络 1 和 内 部 网 络 2 对 于 Internet 都 是 不 可 见 的 ,因此 ,该 IP 分 组 的 目的 IP 地 址 
是 分 配给 无 线路 由 器 R2 的 WAN 端口 的 全 球 卫 地 址 192. 1. 1. 1。IP 分 组 的 源 IP 地 址 
是 Web 服务 器 的 IP 地址。 编号 @ 的 IP 分 组 是 Web 服务 器 传输 给 终端 A, 且 在 内 部 网 
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络 1 内 传输 的 卫 分 组 ,由 于 内 部 网 络 2 对 于 内 部 网 络 1 是 不 可 见 的 ,因此 ,该 IP 分 组 的 
目的 IP 地 址 是 分 配给 无 线路 由 器 R1 的 WAN 端口 的 属于 内 部 网 络 1 的 IP 地 址 192. 
168. 1.100。IP 分 组 的 源 IP 地 址 是 Web 服务 器 的 IP 地 址 。 编 号 四 的 IP 分 组 是 Web 服 
务 器 传输 给 终端 A, 且 在 内 部 网 络 2 内 传输 的 IP 分 组 ,该 IP 分 组 的 目的 卫 地 址 是 终端 
A 的 卫 地 址 , 源 卫 地 址 是 Web 服务 器 的 IP 地址。 

【例题 9.9】 如 图 9. 9 所 示 是 网 络 地 址 转换 (NAT) 的 一 个 示例 ,路 由 器 R1 互 连 内 
部 网 络 和 外 部 网 络 , 具 有 NAT 功能 ,分 析 得 出 图 9. 9 中 和 @ 的 值 。 



























































NAT 转 换 表 
转换 后 的 IP 地 址 主机 专用 IP 地 址 
© © 
S=10.0.0.1:3142 
D=147.2.1.1:80 口 
> 1 
Internet [=] [| 内 部 网 络 
R1 
$=147.2.1.1:80 ml 
D=59.67.15.21:5511 
图 9.9 NAT 示 例 


【解析 】 由 于 内 部 网 络 终端 传输 给 外 部 网 络 , 且 在 内 部 网 络 内 传输 的 IP 分 组 的 源 

IP 地 址 是 内 部 网 络 终端 的 和 有 IE 地 址 ,目的 IP 地 址 是 外 部 网 络 终端 的 全 球 IP 地 址 。 因 
此 ,通过 内 部 网 络 终端 传输 给 路 由 器 R1 的 IP 分 组 可 以 发 现 , 内 部 网 络 终端 的 IP 地 址 是 
10. 0. 0. 1 , 源 端口 号 是 3142。 由 于 外 部 网 络 终端 传输 给 内 部 网 络 , 且 在 外 部 网 络 内 传输 
的 IP 分 组 的 目的 IP 地 址 是 路 由 器 R1 连接 外 部 网 络 的 接口 的 全 球 IP 地 址 。 因 此 ,通过 
Internet 传输 给 路 由 器 R1 的 IP 分 组 可 以 发 现 , 路 由 器 Rl 连接 外 部 网 络 的 接口 的 了 P 地 
址 是 59.67.15. 21, 目 的 端口 号 是 5511 。 
NAT 转换 表 中 某 项 转换 项 的 主机 专用 IP 地 址 是 内 部 网 络 终端 的 私有 IP 地 址 和 内 
部 网 络 终端 选择 的 源 端口 号 ,因此 主机 专用 IP 地 址 是 10.0.0.1 和 3142。 转 换 后 的 全 地 
址 是 路 由 器 R1 连接 外 部 网 络 的 接口 的 IP 地 址 和 路 由 器 R1 选择 的 源 端口 号 ,而 路 由 器 
R1 选择 的 源 端口 号 成 为 外 部 网 络 发 送 给 路 由 器 R1 的 报 文 的 目的 端口 号 ,因此 ,转换 后 
的 IP 地 址 是 59. 67. 15. 21 和 5511。 求 出 是 59. 67. 15. 21 和 5511,@ 是 10. 0. 0. 1 
和 3142。 

【例题 9.10】 对 于 如 图 9. 10 所 示 的 互连网 结构 ,如 果 要 求 连接 在 网 络 192. 1. 1. 0/ 
24 和 192. 1. 2.0/24 的 终端 各 有 一 半 以 路 由 器 Rl 和 R2 作为 默认 网 关 , 给 出 实现 这 一 功 
能 所 需 的 VRRP 配置 。 

【解析 】 如 图 9. 11 所 示 ,创建 VRID 分 别 为 2 和 3 的 两 个 虚拟 路 由 器 ,并 将 路 由 器 
R1 接口 1 和 路 由 器 R2 接口 1 分 配给 VRID 为 2 和 3 的 两 个 虚拟 路 由 器 ,为 VRID 为 2 
的 虚拟 路 由 器 分 配 虚拟 IP 地 址 192. 1. 1. 253 ,使 路 由 器 R2 成 为 VRID 为 2 的 虚拟 路 由 
器 的 主 路 由 器 ,为 VRID 为 3 的 虚拟 路 由 器 分 配 虚拟 IP 地 址 192. 1. 1. 254 ,使 路 由 器 R1 





Ne/ 网 络 安全 习题 详解 




















R1 路 由 表 R2 路 由 表 

目的 网 络 “接口 下 一 跳 目的 网 络 ”接口 下 一 跳 

192.1.1.0/24 1 ”直接 192.1.1.024 1 ”直接 

192.1.2.0/24 ”2 ”直接 192.1.2.0/24 2 ”直接 
RI1 R2 








192.1.2.254 
192.1.1.254 192.1.1.253 192.1.2.253 


192.1.1.0/24 














终端 A 终端 B ”终端 C ”终端 D 
MACA MACB MACC MACD 
192.1.1.3 192.1.1.7 192.1.2.3 192.1.2.7 


图 9.10 互连网 结构 


192.1.1.254 192.1.2.253 
Rb | < VRID=4 
虚拟 IP 地 址 192.1.1.253 站 虚拟 tp 地址 192.1.2.253 
虚拟 MAC 地 址 00-00-5E-00-01-02 < 入- 虚拟 MAC 地 址 00-00-5E-00-01-04 
VRD3 -人 VRID=5 
虚拟 IP 地 址 192.1.1.254 Nl a | -> 虚拟 IP 地 址 192.1.2.254 
虚拟 MAC 地 址 00-00-5E-00-01-03 ”| -一 NS 一 一 虚拟 MAC 地 址 00-00-5E-00-01-05 
192.1.1.0/24 192.1.2.0/24 




















终端 B 终端 C ”终端 D 

MACB MACC MACD 
1921.13 。 192.1.1.7 192123 。 192.1.2.7 
192.1.1.253 192.1.1.254 192.1.2.253 192.1.2.254 


图 9.11 VRRP 配置 


可 
后 
0 


成 为 VRID 为 3 的 虚拟 路 由 器 的 主 路 由 器 。 
如 图 9. 11 所 示 ,创建 VRID 分 别 为 4 和 5 的 两 个 虚拟 路 由 器 ,并 将 路 由 器 R1 接口 2 
和 路 由 器 R2 接口 2 分 配给 VRID 为 4 和 5 的 两 个 虚拟 路 由 器 ,为 VRID 为 4 的 虚拟 路 由 
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器 分 配 虚拟 IP 地 址 192. 1. 2. 253, 使 路 由 器 R2 成 为 VRID 为 4 的 虚拟 路 由 器 的 主 路 由 
器 ,为 VRID 为 5 的 虚拟 路 由 器 分 配 虚拟 IP 地 址 192. 1. 2. 254 ,使 路 由 器 R1 成 为 VRID 
为 5 的 虚拟 路 由 器 的 主 路 由 器 。 

如 图 9. 11 所 示 ,终端 A 的 默认 网 关 地 址 为 虚拟 卫 地 址 192. 1. 1. 253 .终端 也 的 默认 网 
关 地 址 为 虚拟 他 地 址 192. 1.1. 254。 终 端 C 的 默认 网 关 地 址 为 虚拟 IP 地 址 192. 1. 2. 253、 
终端 DD 的 默认 网 关 地 址 为 虚拟 他 地 址 192. 1. 2. 254。 


913 计算 题解 析 


【例题 9.11】 假定 漏斗 算法 中 的 队列 长 度 是 10MB, 队 列 稳定 器 的 输出 速率 是 
2Mb/s, 求 分 组 最 大 队列 等 待 时 延 。 

【解析 】 分 组 最 大 队列 等 待 时 延 二 (10X10*X8)/(2X105) 一 40s。 

【例题 9. 12】 假定 每 一 个 令 牌 授权 传输 2KB, 令 牌 生 成 速率 是 1000 个 /s。 令 牌 桶 
深度 是 1000 个 令 牌 , 求 平均 传输 速率 和 最 大 突 发 性 数据 长 度 。 

【解析 】 平均 传输 速率 = 每 一 个 令 牌 授权 传输 的 二 进 制 数 位 数 X 令 牌 生成 速率 = 
2X10;X8X1000=16Mb/s。 

最 大 突 发 性 数据 长 度 二 每 一 个 令 牌 授权 传输 的 二 进 制 数 位 数 X 令 牌 桶 深度 =2X 
10: X 8X1000=16Mb=2MB,。 

【例题 9. 13】 网 络 结构 如 图 9. 12 所 示 ,假定 IP 首部 长 度 为 20B, 回 答 以 下 问题 。 








内 部 网 络 R 
ep 192.1.1.1 Ce >) 
MTU=512B 
终端 A 无 线 
路 由 器 
图 9.12 网 络 结构 


(1) 终端 A 配 置 网 络 信息 时 ,正确 的 子 网 掩 码 和 默认 网 关 地 址 分 别 是 多 少 ? 

(2) 如 果 由 路 由 器 R 向 互连网 转发 一 个 源 IP 地 址 二 192. 168. 1. 5 ID 王 12345、 
length=500B、.DF=1 的 IP 分 组 ,该 JP 分 组 首部 的 哪些 字段 会 被 修改 ”如 何 修改 ? 

(3) 如 果 由 路 由 器 R 向 互连网 转发 一 个 源 IP 地 址 王 192. 168. 1. 10 .ID 一 6789、 
length 二 1500B、.DF==0 的 IP 分 组 ,路 由 器 需要 将 该 IP 分 组 分 为 几 片 (每 片 尽 可 能 封装 为 
最 大 片 )? 求 出 封装 每 片 数据 片 的 IP 分 组 首部 的 ID.DF .MEF length .offset 的 值 。 

【解析 】 

(1) 无 线路 由 器 R 连接 内 部 网 络 的 接口 的 IP 地址 就 是 终端 A 的 默认 网 关 地 址 , 因 
此 ,终端 A 的 默认 网 关 地 址 是 192. 168. 1. 1。 由 于 分 配给 内 部 网 络 的 网 络 地 址 的 网 络 号 
位 数 王 28 ,因此 , 子 网 掩 码 是 255. 255. 255. 240。 

(2) 由 于 耳 分 组 总 长 为 500B, 小 于 无 线路 由 器 R 连接 Internet 链 路 的 MTU ,因此 ， 
无 线路 由 器 R 在 完成 内 部 网 络 至 Internet 的 IP 分 组 转发 过 程 中 ,一 是 需要 修改 源 IP 地 
址 字段 ,将 源 IP 地 址 由 192. 168. 1. 5 改 为 192. 1. 1. 1; 二 是 需要 修改 TTL 字段 值 ,将 
TTL 字段 值 减 1; 三 是 需要 重新 计算 检验 和 。 
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(3) IP 分 组 的 数据 长 度 =1500 一 20 二 1480。 因 此 ,数据 片 数 满足 不 等 式 n X512 宇 
1480 十 20Xn 的 最 小 n 值 , 求 出 n==4。 前 三 片 数据 片 的 长 度 L 是 满足 以 下 条 件 的 最 大 L， 
一 是 工 十 20 二 512, 二 是 工 是 8 的 倍数 , 求 出 L==488。 第 4 片 数据 片 长 度 =1480 一 3X488 二 
16。 以 此 得 出 封装 第 1 片 数 据 片 的 IP 分 组 首部 的 offset( 片 偏 移 ) 二 0,length( 总 长 ) = 
488 十 20 二 508B。 封 装 第 2 片 数 据 片 的 IP 分 组 首部 的 offset ( 片 偏 移 ) = 488/8=61， 
length( 总 长 )==488 十 20 二 508B。 封 装 第 3 片 数据 片 的 IP 分 组 首部 的 offset( 片 偏 移 ) = 
(2X488)/8 二 122,length( 总 长 )=488 十 20 二 508B。 封 装 第 4 片 数据 片 的 IP 分 组 首部 的 
offset( 片 偏 移 ) 二 (3X488)/8= 二 183,length( 总 长 )=16 十 20 二 36B。 封 装 4 片 数据 片 的 IP 
分 组 首部 的 ID( 标 识 )=6789,DF 王 0。 封 装 前 三 个 数据 片 的 IP 分 组 首部 的 MF 二 1, 封 装 
最 后 一 片 数据 片 的 IP 分 组 首部 的 MF=0。 


9.2 选择 题 分 析 


(1) 以 下 哪 一 项 不 属于 互连网 安全 技术 ? ( ) 


A. 流量 管制 技术 B. 防御 路 由 项 欺骗 攻击 技术 
C. NAT D. 防御 MAC 表 溢出 攻击 技术 
答案 : D 
【分 析 】 互连网 安全 技术 一 般 指 网 际 层 的 安全 技术 。 防 御 MAC 表 溢 出 攻击 技术 是 
以 太 网 专用 的 安全 技术 。 


(2) 以 下 哪 一 项 有 关 安 全 路 由 的 描述 是 错误 的 ? ( ) 
A. RIP 要 求 交换 路 由 消息 的 两 台 相 邻 路 由 器 配置 相同 的 共享 密 钥 
B. OSPF 要 求 属于 同一 区 域 的 路 由 器 接口 配置 相同 的 共享 密 钥 
C. OSPF 要 求 建立 邻接 关系 的 两 台 相 邻 路 由 器 配置 相同 的 共享 密 钥 
D. 路 由 消息 必须 携带 共享 密 钥 参 与 计算 的 消息 鉴别 码 
答案 : B 
【分 析 】 路 由 消息 鉴别 发 生 在 路 由 消息 的 发 送 路 由 器 和 路 由 消息 的 接收 路 由 器 
之 间 。 
(3) 以 下 哪 一 项 是 解决 路 由 项 欺骗 攻击 的 机 制 ? ( ) 
A. 路 由 项 源 端 鉴别 和 完整 性 检测 机 制 
B. 路 由 项 聚合 机 制 
C. 手工 配置 静态 路 由 项 机 制 
D. 路 由 协议 创建 动态 路 由 项 机 制 
答案 : A 
【分 析 】 路 由 项 欺骗 的 本 质 是 没有 授权 发 送 路 由 消息 的 黑客 终端 发 送 了 伪造 的 路 由 
消息 。 因 此 , 源 端 鉴 别 和 完整 性 检测 机 制 是 保证 接收 到 的 路 由 消息 是 授权 路 由 器 发 送 , 且 
传输 过 程 中 未 被 算 改 的 有 效 方法 。 采 用 手工 配置 所 有 路 由 项 的 方法 ,虽然 也 能 解决 路 由 
项 欺骗 问题 ,但 对 于 大 型 网 络 , 手 工 配置 所 有 路 由 项 是 很 难 做 到 的 。 
(4) 以 下 哪 一 项 是 实现 路 由 项 源 端 鉴别 和 完整 性 检测 的 前 提 ? (  ) 
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A. 相 邻 路 由 器 配置 相同 的 共享 密 钥 
B. 每 一 台 路 由 器 只 能 成 为 单 台 路 由 器 的 相 邻 路 由 器 
C. 每 一 台 路 由 器 只 允许 启动 一 种 路 由 协议 
D. 只 允许 授权 路 由 器 向 相 邻 路 由 器 发 送 路 由 消息 
答案 : A 
【分 析 】 相 邻 路 由 器 之 间 配 置 相同 的 共享 密 钥 , 每 一 台 路 由 器 通过 证 明 自 己 拥有 共 
享 密 钥 以 证 明 自 己 是 授权 发 送 路 由 消息 的 路 由 器 。 
(5) 以 下 哪 一 项 是 隐藏 内 部 网 络 的 方法 ? ( ) 
A. 其 他 路 由 器 中 手工 配置 用 于 指明 通 往 内 部 网 络 的 传输 路 径 的 静态 路 由 项 
B. 其 他 路 由 器 中 通过 路 由 协议 创建 用 于 指明 通 往 内 部 网 络 的 传输 路 径 的 动态 
路 由 项 
C. 其 他 路 由 器 中 没有 用 于 指明 通 往 内 部 网 络 的 传输 路 径 的 路 由 项 
D. 没有 路 由 器 接口 连接 内 部 网 络 
答案 : C 
【分 析 】 由 于 其 他 路 由 器 中 没有 用 于 指明 通 往 内 部 网 络 的 传输 路 径 的 路 由 项 ,因此 ， 
内 部 网 络 对 于 这 些 路 由 器 是 透明 的 。 
(6) 关于 单 播 反 向 路 径 验 证 ,以 下 哪 一 项 描述 是 错误 的 ? ( ”) 
A. 反 向 路 径 是 指 通 往 源 终端 的 传输 路 径 
B. 寻找 反 向 路 径 时 ,用 IP 分 组 的 源 IP 地 址 检索 路 由 表 
C. 用 反 向 路 径 防御 源 IP 地 址 欺骗 攻击 的 前 提 是 源 和 目的 端 之 间 的 传输 路 径 是 
对 称 的 
D. 路 由 器 路 由 表 中 分 别 创建 用 于 指明 正 向 路 径 和 反 向 路 径 的 路 由 项 
答案 D 
【分 析 】 路 由 器 路 由 表 中 只 有 用 于 指明 通 往 目的 网 络 的 传输 路 径 的 路 由 项 。 
(7) 关于 策略 路 由 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 针对 特定 目的 终端 ,同时 存在 策略 路 由 项 和 普通 路 由 项 
B. 策略 路 由 项 通过 手工 配置 ,普通 路 由 项 可 以 是 直 连 路 由 项 ,静态 路 由 项 或 动 
态 路 由 项 
C. 策略 路 由 项 的 优先 级 高 于 普通 路 由 项 
D. 策略 路 由 项 是 用 于 指明 最 短路 径 的 路 由 项 
答案 : D 
【分 析 】 策略 路 由 项 用 于 指明 一 条 通 往 特定 目的 终端 的 传输 路 径 , 该 传输 路 径 不 一 
定 是 距离 最 短 的 ,有 可 能 是 传输 延迟 比较 小 的 ,或 是 经 过 路 由 器 的 安全 性 是 有 保障 的 等 。 
(8) 关于 流量 管制 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 限制 特定 信息 流 的 平均 传输 速率 
B. 特定 信息 流 可 以 用 信息 流 的 源 和 目的 IP 地址、 协议 类 型 等 标识 
C. 平均 传输 速率 的 上 限 是 链 路 带宽 
D. 平均 传输 速率 是 特定 信息 流 的 最 大 传输 速率 
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答案 : D 
【分 析 】 平均 传输 速率 是 特定 信息 流 时 间 周 期 T 内 的 平均 传输 速率 ,允许 特定 信息 
流 的 实际 传输 速率 短暂 地 超过 平均 传输 速率 。 
(9) 关于 令 牌 桶 算法 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 平均 传输 速率 二 RXP/s, 其 中 尺 是 令 牌 生成 速率 ,P 是 每 一 个 令 牌 授权 发 送 
的 二 进 制 数 位 数 
B. 允许 持续 以 链 路 带宽 发 送 的 字 节 数 二 DX P/8, 其 中 D 是 令 牌 桶 深度 ,P 是 每 
一 个 令 牌 授权 发 送 的 二 进 制 数位 数 
C. 分 组 队列 越 大 ,最 大 传输 延迟 越 高 
D. 分 组 到 达 速 率 不 能 超过 平均 传输 速率 
答案 : D 
【分 析 】 由 于 存在 分 组 队列 ,分 组 到 达 速 率 短 暂 地 超过 平均 传输 速率 是 允许 的 ,但 如 
果 发 生 持 续 较 长 时 间 分 组 到 达 速 率 超过 平均 传输 速率 的 情况 ,会 导致 分 组 队列 溢出 。 
(10) 关于 流量 管制 的 作用 ,以 下 哪 一 项 描述 是 错误 的 ?( ) 


A. 能 够 有 效 防御 DoS B. 能 够 减轻 病毒 危害 程度 
C. 能 够 管控 用 户 流量 D. 能 够 阻止 病毒 传播 
答案 : D 


【分 析 】 流量 管制 只 能 管控 特定 信息 流 的 流量 ,不 会 检测 信息 流 中 是 否 携带 病毒 。 
因而 无 法 阻止 在 允许 流量 内 传播 病毒 的 情况 发 生 。 
(11) 关于 NAT, 以 下 哪 一 项 描述 是 错误 的 ?> ( ) 
A. 一 种 实现 私有 IP 地 址 和 全 球 IP 地 址 相互 转换 的 技术 
B. 分 配 私 有 IP 地 址 的 内 部 网 络 对 于 公共 网 络 是 透明 的 
C. 建立 私有 IP 地 址 和 全 球 IP 地 址 之 间 映 射 前 ,只 能 由 内 部 网 络 终端 发 起 访 
问 外 部 网 络 的 过 程 
D. 内 部 网 络 终端 同时 配置 私有 IP 地 址 和 全 球 IP 地 址 
答案 : D 
【分 析 】 内 部 网 络 终端 只 配置 私有 IP 地 址 ,访问 公共 网 络 时 ,由 互 连 内 部 网 络 和 公 
共 网 络 的 边界 路 由 器 建立 私有 IP 地 址 与 全 球 IP 地 址 之 间 的 映射 。 
(12) NAT 对 防止 以 下 哪 一 项 攻击 是 无 效 的 ? ( ) 
A. 连接 在 公共 网 络 上 的 黑客 终端 发 起 的 对 内 部 网 络 终端 的 主动 攻击 
B. 因为 下 载 包含 病毒 的 网 页 而 感染 病毒 
C. 内 部 网 络 终端 发 起 的 对 外 部 网 络 中 的 服务 器 的 SYN 泛 洪 攻击 
D. 从 外 部 网 络 传播 蠕虫 到 内 部 网 络 
答案 : B 
【分 析 】 NAT 对 内 部 网 络 终端 访问 外 部 网 络 或 内 部 网 络 中 的 Web 服务 器 没有 
限制 。 
(13) 关于 无 线路 由 器 连接 的 内 部 网 络 和 外 部 网 络 , 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 内 部 网 络 私有 IP 地 址 对 外 部 网 络 是 不 可 见 的 


第 9 章 互连网 安全 技术 \@®/ 


B. 外 部 网 络 发 送 给 内 部 网 络 的 IP 分 组 以 无 线路 由 器 连接 外 部 网 络 接口 的 IP 
地 址 为 目的 卫 地 址 
C. 内 部 网 络 终端 可 以 发 起 访问 外 部 网 络 的 过 程 
D. 外 部 网 络 终端 可 以 发 起 访问 内 部 网 络 的 过 程 
答案 : D 
【分 析 】 内 部 网 络 终端 发 起 访问 外 部 网 络 的 过 程 中 ,在 无 线路 由 器 中 建立 地 址 转换 
项 ,通过 地 址 转换 项 ,建立 内 部 网 络 终端 的 私有 IP 地 址 与 特定 标识 信息 之 间 的 映射 。 在 
没有 建立 地 址 转换 项 之 前 ,外 部 网 络 终端 不 能 向 内 部 网 络 终端 发 送 IP 分 组 。 
(14) 关于 NAT, 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 内 部 网 络 发 送 给 Internet 的 卫 分 组 的 净 荷 中 携带 唯一 的 标识 信息 
B. 无 线路 由 器 通过 地 址 转换 项 建立 私有 IP 地 址 与 唯一 的 标识 信息 之 间 的 
映射 
C. 外 部 网 络 回 送 给 内 部 网 络 的 IP 分 组 的 净 荷 中 同样 携带 唯一 的 标识 信息 
D. 由 内 部 网 络 终端 生成 发 送 给 Internet 的 IP 分 组 的 净 荷 中 的 唯一 标识 信息 
答案 : D 
【分 析 】 如 果 由 各 个 内 部 网 络 终端 独立 生成 发 送 给 Internet 的 IP 分 组 的 净 荷 中 的 
标识 信息 ,不 同 终端 有 可 能 生成 相同 的 标识 信息 ,因此 ,这 些 标识 信息 是 无 法 做 到 唯一 的 。 
要 做 到 唯一 ,只 能 由 无 线路 由 器 生成 发 送 给 Internet 的 IP 分 组 的 净 荷 中 的 标识 信息 。 
(15) 如 图 9.13 所 示 是 NAT 的 一 个 示例 ,根据 图 9. 13 中 的 信息 ,编号 为 的 箭头 线 
所 对 应 的 方 框 内 容 是 (。”)。 












































A. S=192.168.1.1: 3105 B，S 一 59. 67. 148. 3， 5234 
D=202. 113. 64. 2: 8080 D=202. 113. 64. 2: 8080 
C. S=192.168.1.1: 3105 D. S=59.67.148.3; 5234 
D=59. 67. 148. 3; 5234 D=192. 168. 1. 1: 3105 
NAT 表 
转折 所 IP 地 址 。 ”本 地 TP 地址 万 
59.67.148.3:5234 192.168.1.1:3105 
192.168.1.1 
@~ 一 -一 口 
Ce ) 内 部 网 络 
a + 刁 




















S=202.113.64.2:8080 S=202.113.64.2:8080 
D=59.67.148.3:5234 D=192.168.1.1:3105 



































192.168.1.3 
9.13 NAT 示例 


答案 : A 
【分 析 】 编号 为 中 的 箭头 线 对 应 的 方 框 中 的 源 和 目的 地 址 信息 与 编号 为 四 的 箭头 线 
对 应 的 方 框 中 的 源 和 目的 地 址 信息 恰好 相反 。 
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(16) 如 图 9. 14 所 示 是 NAT 的 一 个 示例 ,根据 图 9. 14 中 的 信息 ,标号 为 @ 的 箭头 线 
所 对 应 的 方 框 内 容 是 ( )。 




















A.S=135. 2.1.1, 80 B. S=135.2.1.1: 80 
D=202.0.1.1: 5001 D=192. 168. 1.1: 3342 
C. S=135. 2. 1.1: 5001 D. S=192. 168.1.1: 3342 
D=135.2.1.1: 80 D=135.2.1.1: 80 
NAT 表 
转换 后 IP 地 址 本 地 IP 地 址 
202.0.1.1:5001 192.168.1.1:3342 万 
$=202.0.1.1:5001 S=192.168.1.1:3342 el 
D=135.2.1.1:80 D=135.2.1.1:80 192.168.1.1 
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192.168.1.3 
图 9.14 NAT 示 例 


答案 : B 

【分 析 】 编号 为 @ 的 箭头 线 对 应 的 方 框 中 的 源 和 目的 地 址 信息 与 编号 为 的 箭头 线 
对 应 的 方 框 中 的 源 和 目的 地 址 信息 恰好 相反 。 

(17) 如 果 需 要 将 一 个 连接 10 台 主 机 的 内 部 网 络 接 入 Internet, 可 以 分 配给 内 部 网 络 


的 网 络 地 址 是 (””)。 
A, ll,11.12.16/2%8 B. 172. 31. 255. 128/27 
C. 192.168.1.0/28 D. 209. 165. 202. 128/28 
答案 : C 


【分 析 】 只 有 C 和 B 选项 属于 私有 IP 地址 ,但 也 选项 可 以 有 30 个 有 效 卫 地 址 ,C 
选项 只 有 14 个 有 效 IP 地 址 ,因此 ,C 选项 更 合适 。 
(18) 关于 动态 PAT, 以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 所 有 内 部 网 络 私有 IP 地 址 映射 到 唯一 的 全 球 IP 地 址 
B. 动态 建立 全 局 唯一 端口 号 或 序号 与 私有 IP 地 址 之 间 映 射 
C. 全 局 唯一 端口 号 或 序号 与 私有 IP 地 址 之 间 映 射 以 会 话 为 单位 
D. 会 话 只 能 是 TCP 连接 
答案 : D 
【分 析 】 会 话 可 以 是 一 个 TCP 连接 ,也 可 以 是 UDP 报 文 交换 过 程 ,也 可 以 是 一 次 
ICMP ECHO 请 求 和 响应 过 程 。 
(19) 关于 静态 PAT, 以 下 哪 一 项 描述 是 错误 的 > (  ) 
A. 事先 建立 全 局 唯一 端口 号 与 私有 IP 地 址 之 间 映 射 
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B. 实现 公共 网 络 终端 发 起 访问 内 部 网 络 的 过 程 
C. 用 多 个 不 同 的 端口 号 映射 多 个 不 同 的 内 部 终端 
D. 实现 外 部 网 络 终端 ping 内 部 网 络 终端 的 过 程 
答案 : D 
【分 析 】 由 于 ICMP ECHO 请 求 报 文中 的 序号 是 本 地 唯一 的 ,用 于 匹配 ICMP 
ECHO 响应 报 文 ,通常 不 能 人 工 指 定 , 因 此 ,无 法 事先 建立 全 局 唯一 序号 与 私有 IP 地 址 
之 间 的 映射 。 
(20) 关于 动态 NAT, 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 同一 时 刻 , 不 同 的 私有 IP 地 址 映射 到 不 同 的 全 球 IP 地 址 
B. 由 内 部 网 络 终 端 发 起 建立 全 球 IP 地 址 与 私有 IP 地 址 之 间 动 态 映射 的 过 程 
C. 全 球 IP 地 址 与 私有 IP 地 址 之 间 映 射 以 会 话 为 单位 
D. 存在 明显 的 创建 会 话 和 结束 会 话 过 程 
答案 : D 
【分 析 】 许多 情况 下 ,以 持续 固定 时 间 没 有 使 用 全 球 IP 地 址 与 私有 IP 地 址 之 间 动 
态 映 射 实现 地 址 转换 的 过 程 作为 会 话 结束 条 件 。 
(21) 关于 静态 NAT, 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 事先 建立 全 球 IP 地 址 与 私有 IP 地 址 之 间 的 映射 
B. 实现 公共 网 络 终端 发 起 访问 内 部 网 络 的 过 程 
C. 用 多 个 不 同 的 全 球 IP 地 址 映射 多 个 不 同 的 内 部 终端 
D. 无 法 实现 外 部 网 络 终端 ping 内 部 网 络 终端 的 过 程 
答案 : D 
【分 析 】 由 于 静态 NAT 固定 建立 某 个 私有 IP 地 址 与 某 个 全 球 IP 地 址 之 间 的 映 
射 ,因此 ,外 部 终端 可 以 用 该 全 球 IP 地 址 访问 配置 该 私有 IP 地 址 的 终端 ,只 要 这 种 访问 
过 程 是 基于 IP 的 。 
(22) 关于 VRRP, 以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 一 种 有 关 宛 余 默认 网 关 的 协议 
B. 可 以 由 多 台 路 由 器 组 成 一 个 虚拟 路 由 器 ,虚拟 路 由 器 中 存在 主 路 由 器 和 备 
份 路 由 器 
C. 虚拟 路 由 器 使 用 虚拟 IP 地 址 和 虚拟 MAC 地 址 
D. 每 一 台 路 由 器 只 能 成 为 单个 虚拟 路 由 器 的 成 员 
答案 : D 
【分 析 】 每 一 台 路 由 器 可 以 成 为 多 个 虚拟 路 由 器 的 成 员 , 通 常 通过 将 某 台 路 由 器 成 
为 多 个 虚拟 路 由 器 成 员 , 且 在 其 中 一 个 虚拟 路 由 器 中 作为 主 路 由 器 ,在 其 他 虚拟 路 由 器 中 
作为 备份 路 由 器 以 实现 负载 均衡 。 
(23) 关于 VRRP 生成 主 路 由 器 过 程 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 如 果 存 在 多 台 主 路 由 器 ,优先 级 最 高 的 主 路 由 器 最 终 成 为 主 路 由 器 ,其 他 
成 为 备份 路 由 器 
B. 如 果 所 有 路 由 器 都 配置 为 不 允许 抢占 方式 ,当主 路 由 器 失效 后 ,并 不 一 定 是 
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优先 级 最 高 的 备份 路 由 器 成 为 主 路 由 器 
C. 如 果 所 有 路 由 器 都 配置 为 允许 抢占 方式 ,优先 级 最 高 的 路 由 器 成 为 主 路 由 器 
D. 如 果 所 有 路 由 器 都 配置 为 不 允许 抢占 方式 , 则 路 由 器 的 优先 级 是 无 用 的 
答案 : D 
【分 析 】 即使 所 有 路 由 器 都 配置 为 不 允许 抢占 方式 , 当 虚 拟 路 由 器 中 存在 多 台 主 路 
由 器 时 ,需要 通过 优先 级 决定 最 终 唯一 的 主 路 由 器 。 


9.3 名 词 解释 





(1) 安全 路 由 

一 种 保证 路 由 表 中 路 由 项 正确 , 且 能 够 对 传输 的 IP 分 组 的 源 IP 地 址 进行 检测 的 安 
全 技术 。 

(2) 流量 管制 

一 种 限制 路 由 器 接口 输入 /输出 特定 信息 流 的 流量 的 安全 技术 。 

(3) NAT 

一 种 既 能 隐藏 分 配 私有 IP 地 址 的 内 部 网 络 , 又 能 使 分 配 私 有 IP 地 址 的 内 部 网 络 终 
端 能 够 发 起 访问 公共 网 络 的 过 程 的 安全 技术 。 

(4) VRRP 

一 种 通过 默认 网 关 宛 余 ,使 终端 在 默认 网 关 失 效 的 情况 下 ,无 须 修改 默认 网 关 地 址 
便 可 继续 与 其 他 网 络 中 的 终端 交换 IP 分 组 的 协议 。 

(5) 防 路 由 项 欺骗 攻击 机 制 

一 种 通过 对 路 由 消息 进行 源 端 鉴别 和 完整 性 检测 ,保证 路 由 表 中 的 路 由 项 正确 有 效 
的 机 制 。 

(6) 路 由 项 过 滤 

一 种 通过 限制 某 个 接口 发 送 的 路 由 消息 中 包含 的 路 由 项 ,使 该 路 由 器 可 以 到 达 的 某 
些 网 络 对 于 其 他 路 由 器 是 透明 的 安全 技术 。 

(7) 单 播 反 向 路 径 验证 

一 种 基于 对 称 的 端 到 端 传输 路 径 检测 IP 分 组 中 源 IP 地 址 是 否 是 伪造 的 IP 地 址 的 
安全 技术 。 

(8) 策略 路 由 

一 种 用 于 为 符合 特定 条 件 的 IP 分 组 选择 特殊 的 传输 路 径 的 路 由 技术 。 

(9) PAT 

一 种 用 于 建立 全 局 唯一 端口 号 ,或 者 全 局 唯一 序号 与 内 部 网 络 私有 IP 地 址 之 间 映 射 
的 NAT 技术 。 
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10.1 例题 解析 
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【例题 10. 1】 简 述 隧道 和 IPSec 是 实现 VPN 的 基础 的 理由 。 

【解析 】 隧道 是 一 种 通过 公共 网 络 传输 任意 格式 分 组 的 技术 ,任意 格式 分 组 封装 后 
可 以 作为 以 隧道 两 端 IP 地 址 为 源 和 目的 IP 地址 的 外 层 IP 分 组 的 净 荷 ,在 完成 外 层 IP 
分 组 隧道 两 端 之 间 传 输 的 同时 ,实现 任意 格式 分 组 隧道 一 端 至 隧道 男 一 端的 传输 过 程 。 

IPSec 能 够 实现 IP 分 组 净 荷 隧道 两 端 之 间 的 安全 传输 过 程 。 隧 道 与 IPSec 结合 可 以 
实现 任意 格式 分 组 公共 网 络 任意 两 个 端点 之 间 的 安全 传输 过 程 。 这 恰恰 是 VPN 的 设计 
目标 ,用 公共 网 络 实现 内 部 网 络 各 个 子 网 之 间 的 互 连 ,同时 又 能 保证 内 部 网 络 封装 形式 的 
数据 各 个 子 网 间 的 安全 传输 。 

【例题 10.2】 简 述 VPN 和 NAT 的 区 别 和 联系 。 

【解析 】 VPN 的 设计 目标 是 用 公共 网 络 实现 内 部 网 络 各 个 子 网 之 间 的 互 连 , 同 时 又 
能 保证 内 部 网 络 封 装 形式 的 数据 在 各 个 子 网 间 的 安全 传输 。 因 此 ,VPN 主要 用 于 实现 通 
过 公共 网 络 互 连 的 内 部 网 络 在 各 个 子 网 间 的 安全 通信 。NAT 主要 用 于 实现 内 部 网 络 终 
端 与 公共 网 络 终端 之 间 的 通信 过 程 。 在 只 需要 实现 内 部 网 络 终端 之 间 通 信 过 程 的 VPN 
中 ,公共 网 络 对 于 内 部 网 络 终端 是 透明 的 。VPN 不 需要 NAT 技术 ,但 如 果 某 个 VPN 既 
要 实现 内 部 网 络 终端 之 间 的 通信 过 程 , 又 要 实现 内 部 网 络 终端 与 公共 网 络 终端 之 间 的 通 
信 过 程 , 则 需要 在 隧道 和 IPSec 的 技术 上 增加 NAT 技术 。 














【解析 】 一 是 点 对 点 隧道 两 端 需要 配置 匹配 的 ISAKMP 策略 和 IPSec 变换 集 ,但 
Cisco Easy VPN 往往 只 需 在 VPN 服务 器 上 配置 ISAKMP 策略 和 IPSec 变换 集 ,在 建立 
IPSec 安全 关联 过 程 中 由 VPN 服务 器 将 ISAKMP 策略 和 IPSec 变换 集 推送 给 远程 终端 。 
二 是 Cisco Easy VPN 需要 以 组 为 单位 组 织 远 程 终端 ,属于 同一 组 的 远程 终端 使 用 相同 的 
共享 密 钥 和 内 部 网 络 配 置信 息 , 但 可 以 具有 不 同 的 身份 标识 信息 。 三 是 Cisco Easy VPN 
需要 创建 动态 加 密 映射 ,允许 任何 IPSec 安全 关联 发 起 者 成 为 该 动态 加 密 映 射 的 另 一 端 。 
四 是 VPN 服务 器 在 成 功 建立 安全 传输 通道 后 ,需要 鉴别 远程 终端 身份 ,并 在 成 功 鉴 别 远 
程 终端 身份 后 ,向 远程 终端 推送 内 部 网 络 配 置信 息 ,如 内 部 网 络 私有 IP 地 址 和 子 网 掩 码 
等 。 五 是 点 对 点 隧道 在 创建 障 道 时 ,通过 在 隧道 两 端 静态 配置 内 部 网 络 私有 IP 地 址 和 路 
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由 协议 ,动态 建立 用 于 指明 通 往 内 部 网 络 各 个 子 网 的 传输 路 径 的 路 由 项 。 但 Cisco Easy 
VPN 不 需要 静态 配置 VPN 服务 器 与 远程 终端 之 间 的 隧道 ,在 成 功 建立 与 某 个 远程 终端 
之 间 的 IPSec 安全 关联 后 ,动态 创建 VPN 服务 器 与 远程 终端 之 间 的 隧道 ,并 建立 用 于 指 
明 内 部 网 络 内 通 往 该 远程 终端 的 传输 路 径 的 路 由 项 。 
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【例题 10.4】 第 三 层 隧道 十 IPSec VPN 如 图 10. 1 所 示 ,给 出 能 够 实现 终端 A 和 终 
端 C 之 间 相 互通 信 的 路 由 器 R1、R2 的 配置 (包括 路 由 表 和 隧道 ) 和 隧道 报 文 封装 过 程 。 


终端 A 








终端 C 
192.168.1.1 192.168.2.1 
MACA MACC 
















192.168.1.254 
MACRI 


192.1.1.1 
(全 球 IP 地 址 ) 





192.1.2.5 192.168.2.254 




























器 192.168.1.0/24 192.168.2.0/24 亡 
-3 (本 地 IP 地 址 ) (本 地 IP 地 址 ) a 
终端 B 终端 D 

192.168.1.2 192.168.2.2 
MACB MACD 

图 10.1 第 三 层 隧道 十 IPSec VPN 结构 
【解析 】 


对 于 边界 路 由 器 R1 ,隧道 源 端 全 球 IP 地 址 是 192. 1. 1. 1 ,隧道 目的 端 全 球 IP 地 址 是 
192.1.2.5。 


对 于 边界 路 由 器 R2 ,隧道 源 端 全 球 IP 地 址 是 192. 1. 2. 5 ,隧道 目的 端 全 球 IP 地 址 是 
人 内 

需要 为 隧道 两 端 分 配 私有 IP 地 址 ,隧道 路 由 器 R1 一 端的 私有 IP 地 址 是 192. 168. 
3. 1, 隧 道路 由 器 R2 一 端的 私有 IP 地 址 是 192. 168. 3. 2 。 

路 由 器 R1 路 由 表 如 表 10. 1 所 示 , 由 两 类 路 由 项 组 成 ,一 类 是 用 于 指明 通 往 内 部 网 
络 各 个 子 网 的 传输 路 径 的 路 由 项 ,其 中 通 往 子 网 192. 168. 2. 0/24 的 传输 路 径 的 下 一 跳 是 
隧道 路 由 器 R2 一 端的 私有 IP 地 址 192. 168. 3.2。 另 一 类 是 用 于 指明 Internet 中 通 往 隧 
道 另 一 端的 传输 路 径 的 路 由 项 ,其 中 通 往 全 球 IP 地 址 为 192. 1. 2. 5 的 隧道 目的 端的 传输 
路 径 的 下 一 跳 是 Internet 中 直接 与 路 由 器 R1 相连 的 某 台 路 由 器 , 表 10. 1 中 用 Internet 
中 的 下 一 跳 表示 。 路 由 器 R2 路 由 表 如 表 10. 2 所 示 。 


表 10.1 边界 路 由 器 R1 路 由 表 














目的 网 络 地 址 子 网 掩 码 输出 接口 下 一 跳 路 由 器 
192. 168.1.0 255. 255. 255. 0 1 直接 
192. 168.2.0 255.255.255.0 隧道 192. 168. 3.2 
192.1.2.5 255. 255. 255. 255 2 Internet 中 的 下 一 跳 
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表 10.2 边界 路 由 器 R2 路 由 表 











目的 网 络 地 址 子 网 掩 码 输出 接口 下 一 跳 路 由 器 
192. 168.1.0 255.255.255.0 隧道 192. 168. 3.1 
192.168.2.0 255. 255. 255.0 2 直接 
192. 二 本 十 255. 255. 255. 255 1 Internet 中 的 下 一 跳 











终端 A 发 送 给 终端 C 的 IP 分 组 ,经 过 隧道 传输 时 的 封装 过 程 如 图 10. 2 所 示 , 首 先 
将 以 终端 A 的 私有 IP 地址 为 源 IP 地 址 以 终端 C 的 私有 IP 地 址 为 目的 IP 地 址 的 内 层 
IP 分 组 封装 成 GRE 格式 ,然后 将 GRE 格式 作为 净 荷 ,封装 成 以 边界 路 由 器 R1 连接 
Internet 的 接口 的 全 球 IP 地 址 为 源 IP 地 址 、 以 边界 路 由 器 R2 连接 Internet 的 接口 的 全 
球 卫 地 址 为 目的 IP 地 址 的 外 层 IP 分 组 。 
































源 IP ”目的 IP 
地 址 地 址 
源 IP 目的 到 192.168.1.1|192.168.2.1 | 类 型 | ”数据 。 | 内 部 网 络 间 传输 的 IP 分 组 
地 址 地 址 
192.1.1.1 | 192.125 | 47 数据 隧道 报 广 
隧道 协 
议 类 型 值 





图 10.2 隧道 报 文 封装 过 程 


【例题 10.5】 第 三 层 隧道 十 IPSec VPN 如 图 10. 1 所 示 ,给 出 能 够 实现 终端 A 和 终 
端 C 之 间 安全 通信 的 路 由 器 R1、R2 的 配置 (包括 安全 关联 相关 参数 、IP 分 组 分 类 标准 
等 ) 和 ESP 报 文 封装 过 程 。 

【解析 】 

(1) 路 由 器 R1 和 R2 IKE 安全 关联 相关 参数 如 下 。 

身份 鉴别 机 制 : 证 书 十 私 钥 。 

加 密 算法 : 3DES。 

报 文摘 要 算法 : MD5 。 

密 钥 分 发 协议 : Diffie-Hellman ,选择 组 号 为 2 的 参数 。 

(2) 路 由 器 R1 和 R2 IPSec 安全 关联 相关 参数 如 下 。 

安全 协议 : ESP。 

加 密 算法 : AES。 

MAC 算法: HMAC-MD5-96。 

(3) 路 由 器 R1 分 类 标准 如 下 。 

源 IP 地 址 : 192.1.1.1。 

目的 全 地 址 ; 192.1.2.5。 

协议 : GRE。 

(4) 路 由 器 R2 分 类 标准 如 下 。 

源 IP 地 址 : 192.1.2.5。 
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目的 他 地 址 ; 192.1.1.1。 

协议 类 型 . GRE。 

(5) 终端 A 发 送 给 终端 C 的 IP 分 组 ,经 过 隧道 传输 时 封装 成 ESP 报 文 的 过 程 如 
图 10.3 所 示 。 首 先 将 终端 A 发 送 给 终端 C 的 内 层 IP 分 组 封装 成 以 边界 路 由 器 R1 连接 
Internet 的 接口 的 全 球 IP 地 址 为 源 IP 地址 以 边界 路 由 器 R2 连接 Internet 的 接口 的 全 
球 IP 地 址 为 目的 IP 地 址 的 外 层 IP 分 组 ,然后 将 外 层 IP 分 组 封装 成 ESP 报 文 。 


源 IP ”目的 IP 协议 
地 址 。” 地 址 类 型 


192.1.1.1|192.1.2.5 | 47 





















































ESP 首 部 ESP 净 荷 ESP 尾 部 
K1 一 一 =| AES 
1 | 
ESP ESP 净 荷 ESP 尾 部 
首部 密 文 密 文 




















K2—™| HMAC-MD5 






































源 IP ”目的 IP 协议 96 位 
地 址 ”地 址 ”类 型 | 
ESP ESP 净 荷 ESP 尾 部 | ESP 
192.1.1.1| 192.1.2.5| 50 首部 | 密 广 | 密 文 人 
外 层 IP 首 部 


图 10.3 ESP 报 文 封装 过 程 


【例题 10.6】 网 络 结构 如 图 10. 4 所 示 , 企 业内 部 网 络 分 配 本 地 IP 地 址 ,远程 接 入 
用 户 如 何 通过 VPN 像 企业 内 部 网 络 中 的 本 地 终端 一 样 访问 企业 内 部 网 络 资源 ,给 出 实 





100.1.1.1 








图 10.4 远程 接 入 过 程 
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现 这 一 功能 所 要 求 的 配置 信息 和 远程 接 入 用 户 访问 企业 内 部 网 络 资源 的 过 程 。 
【解析 】 
(1) 远程 终端 配置 信息 
第 二 层 隧道 控制 协议 : L2TP。 
LNS 地 址 ; 100. 1.2. 1。 
用 户 名 : 用 户 A。 
密码 : PASSA。 
鉴别 协议 : CHAP。 
(2) LNS 配 置信 息 
第 二 层 隧道 控制 协议 : L2TP。 
本 地 IP 地 址 池 : 192. 168. 2. 1 一 192. 168. 2. 100。 
注册 用 户 库 如 表 10. 3 所 示 。 





表 10.3 注册 用 户 库 
用 户 名 密 码 鉴别 协议 
用 户 A PASSA CHAP 


(3) 远程 接 入 用 户 访问 企业 内 部 网 络 资源 的 过 程 

@ 通过 L2TP 建立 远程 终端 与 LNS 之 间 的 第 二 层 隧道 。 

@ 远程 终端 与 LNS 之 间 建立 基于 第 二 层 隧 道 的 PPP 链 路 。 

@ LNS 完成 对 远程 终端 用 户 的 身份 鉴别 过 程 。 

@ LNS 在 本 地 IP 地 址 池 中 选择 一 个 未 使 用 的 本 地 IP 地 址 (如 192. 168. 2. 1) ,将 其 
分 配给 远程 终端 ,并 在 路 由 表 中 创建 一 项 将 该 本 地 IP 地 址 和 远程 终端 与 LNS 之 间 的 第 
二 层 隧 道 绑 定 在 一 起 的 路 由 项 。 

@ 远程 终端 用 LNS 分 配 的 本 地 IP 地 址 , 像 企业 内 部 网 络 中 的 终端 一 样 访问 企业 内 
部 网 络 资源 。 

【例题 10.7】 网 络 结构 如 图 10. 5 所 示 ,要 求 对 终端 访问 服务 器 (Web 服务 器 和 FTP 
服务 器 ) 过 程 实施 统一 控制 ,访问 对 象 能 够 精确 到 文件 ,在 网 络 中 增加 必要 的 设备 ,并 给 出 
与 实施 统一 访问 控制 有 关 的 配置 信息 。 











图 10.5 网 络 结构 
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【解析 】 
(1) 增加 SSL VPN 网 关 ,SSL VPN 网 关 位 置 如 图 10. 6 所 示 。 






SSL VPN 网 关 Web 服 务 器 


FTP 服 务 器 


二 层 交换 机 si 


“HL 


(2) SSL VPN 网 关 完 成 证 书 申请 过 程 ,其 他 终端 能 够 获取 证 明 SSL VPN 网 关 完 全 
合格 的 域名 与 其 公 钥 之 间 绑 定 关系 的 证 书 。 

(3) SSL VPN 网 关 配 置 如 表 10. 4 所 示 的 注册 用 户 库 ,注册 用 户 库 中 列 出 所 有 注册 
用 户 的 用 户 名 和 密码 。 

(4) 为 每 一 个 注册 用 户 分 配 访问 权限 ,建立 如 表 10. 5 所 示 的 用 户 权 限 表 。 用 户 权限 
用 该 注册 用 户 能 够 访问 的 对 象 表示 ,每 一 个 对 象 用 URL 唯一 标识 。 

(5) 每 一 个 注册 用 户 可 以 登录 SSL VPN 网 关 , 成 功 登 录 后 ,给 出 URL 列表 ,URL 列 
表 中 是 一 组 标识 授权 该 注册 用 户 访问 的 对 象 的 URL。 




















10.6 SSL VPN 结构 














表 10.4 注册 用 户 库 表 10.5 用 户 权限 表 
用 户 名 密 码 用 户 名 访问 权限 
用 户 A PASSA 用 户 A URL1 
用 户 B PASSB 用 户 A URL2 
用 户 B URL3 





10.2 选择 题 分 析 


(1) 关于 VPN, 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 实现 由 公共 网 络 分 隔 的 、 分 配 私有 IP 地 址 的 内 部 网 络 各 个 子 网 之 间 的 通信 
过 程 
B. 保障 内 部 网 络 各 个 子 网 之 间 传输 的 信息 的 保密 性 
C. 保障 内 部 网 络 各 个 子 网 之 间 传 输 的 信息 的 完整 性 
D. 互 连 内 部 网 络 各 个 子 网 的 只 能 是 专用 点 对 点 物理 链 路 
答案 : D 
【分 析 】 实现 内 部 网 络 各 个 子 网 之 间 互 连 的 可 以 是 Internet, 而 且 可 以 采用 任何 接 
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入 技术 将 内 部 网 络 各 个 子 网 接 入 到 Internet。 
(2) 关于 VPN, 以 下 哪 一 项 描述 是 正确 的 ? (。 ) 
A. 内 部 网 络 各 个 子 网 分 配 的 网 络 地 址 不 能 相同 
B. 内 部 网 络 各 个 子 网 分 配 的 网 络 地 址 可 以 相同 
C. 某 个 内 部 网 络 子 网 对 其 他 内 部 网 络 子 网 是 透明 的 
D. 某 个 内 部 网 络 子 网 分 配 的 私有 IP 地 址 对 其 他 内 部 网 络 子 网 是 透明 的 
答案 : A 
【分 析 】 内 部 网 络 是 由 各 个 子 网 互 连 而 成 的 互连网 ,因此 ,每 一 个 子 网 必须 分 配 不 同 
的 网 络 地 址 。 
(3) 下 列 技术 中 , 哪 一 项 不 能 有 效 防范 网 络 嗅 探 攻击 ? ( ) 
A. VPN B. SSL C. Telnet D. SSH 
答案 : C 
【分 析 】 由 于 Telnet 以 明文 方式 传输 登录 时 使 用 的 用 户 名 和 密码 ,因此 黑客 很 容易 
通过 嗅 探 攻击 获取 某 个 注册 用 户 登 录 时 使 用 的 用 户 名 和 密码 。 
(4) 关于 专用 网 络 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ”) 
A. 专用 网 络 各 个 子 网 可 以 分 配 私有 IP 地址 
B. 企业 拥有 专用 网 络 全 部 资源 
C. 专用 网 络 内 传输 的 信息 是 相对 安全 的 
D. 专用 网 络 便于 扩展 
答案 : D 
【分 析 】 由 于 路 由 器 之 间 通 过 专用 物理 链 路 实现 互 连 ,因此 ,增加 或 删除 专用 网 络 中 
的 子 网 是 一 件 麻烦 的 事情 。 
(5) 以 下 哪 一 项 不 是 专用 网 络 的 缺陷 ? ( 。 ) 








A. 运行 成 本 高 B. 不 便于 扩展 
C. 实现 难度 大 D. 安全 性 差 
答案 : D 


【分 析 】 由 于 企业 拥有 专用 网 络 的 全 部 资源 ,因此 ,专用 网 络 内 传输 的 信息 不 容易 被 
外 部 人 员 嗅 探 和 截获 ,是 相对 安全 的 。 
(6) 以 下 哪 一 项 不 是 专用 网 络 的 特点 ? ( ) 


A. 使 用 私有 IP 地 址 B. 不 和 其 他 网 络 共享 传输 路 径 
C. 不 能 和 其 他 网 络 相互 通信 D. 使 用 TCP/IP 协议 栈 
答案 : D 


【分 析 】 并 不 只 有 专用 网 络 使 用 TCP/ 了 协议 栈 。 
(7) 以 下 哪 一 项 是 虚拟 专用 网 络 有 别 于 专用 网 络 的 地 方 ? (  ) 
A. 使 用 私有 IP 地 址 
B. 实现 数据 内 部 网 络 子 网 间 的 安全 传输 
C. 使 用 公共 网 络 提 供 的 数据 传输 通路 
D. 使 用 TCP/IP 协议 栈 
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答案 : C 
【分 析 】 虚拟 专用 网 络 用 隧道 实现 内 部 网 络 各 个 子 网 间 的 互 连 ,隧道 两 端 之 间 的 传 
输 路 径 经 过 公共 网 络 , 且 内 部 网 络 不 能 独占 隧道 两 端 之 间 传 输 路 径 经 过 的 物理 链 路 的 
带宽 。 
(8) 以 下 哪 一 项 不 是 虚拟 专用 网 络 需要 解决 的 问题 和 (  ) 
A. 使 用 私有 IP 地 址 的 IP 分 组 如 何 经 过 Internet 传输 的 问题 
B. 如 何 保证 经 过 Internet 传输 的 数据 的 安全 的 问题 
C. 如 何 防止 其 他 网 络 冒充 内 部 网 络 子 网 的 问题 
D. 如 何 实现 内 部 网 络 终端 和 公共 网 络 终端 之 间 通 信 的 问题 
答案 : D 
【分 析 】 VPN 的 主要 任务 不 是 实现 内 部 网 络 终 端 与 公共 网 络 终端 之 间 的 通信 过 程 。 
(9) 对 于 远程 接 入 过 程 ,以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. 通过 PSTN 建立 远程 终端 与 接 入 控制 设备 之 间 的 语音 信道 
B. 远程 终端 与 接 入 控制 设备 之 间 带 宽 受 限 
C. 接 入 费用 较 高 
D. 安全 性 差 
答案 : D 
【分 析 】 由 于 远程 终端 与 接 入 控制 设备 之 间 通 过 语音 信道 互 连 ,而 经 过 语音 信道 传 
输 的 信息 是 相对 安全 的 。 
(10) 以 下 哪 一 项 不 是 VPN 需要 解决 的 问题 ?( ) 
A. 实现 由 互连网 分 隔 的 两 个 分 配 私 有 IP 地 址 的 终端 之 间 相互 通信 的 问题 
B. 保证 经 过 互连网 传输 的 数据 的 保密 性 和 完整 性 的 问题 
C. 由 互连网 互 连 的 内 部 网 络 边界 路 由 器 之 间 的 双向 身份 鉴别 问题 
D. 在 互连网 中 建立 内 部 网 络 边界 路 由 器 之 间 的 传输 路 径 的 问题 
答案 : D 
【分 析 】 建立 连接 在 互连网 中 任意 两 个 节点 之 间 的 传输 路 径 是 互连网 的 基本 功能 ， 
不 是 VPN 特有 的 。 
(11) 关于 隧道 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 一 种 实现 互连网 两 端 之 间 无 法 直接 经 过 互连网 传输 的 PDU 的 传输 过 程 的 
技术 
B. 隧道 报 文通 常 是 以 隧道 两 端 全 球 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 
C. 无 法 直接 经 过 互连网 传输 的 PDU 作为 隧道 报 文 的 净 荷 
D. 直接 转换 无 法 直接 经 过 互连网 传输 的 PDU 中 的 私有 IP 地 址 
答案 : D 
【分 析 】 无 法 直接 经 过 互连网 传输 的 PDU 作为 以 隧道 两 端 全 球 IP 地 址 为 源 和 目的 
IP 地 址 的 隧道 报 文 的 净 荷 ,经 过 互连网 传输 的 是 隧道 报 文 。 
(12) 关于 隧道 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 隧道 两 端 分 配 全 球 IP 地 址 
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B. 隧道 两 端 可 以 实现 双向 身份 鉴别 
C. 保障 经 过 隧道 传输 的 数据 的 保密 性 和 完整 性 
D. 隧道 是 互连网 中 隧道 两 端 专用 的 传输 路 径 
答案 : D 
【分 析 】 隧道 只 是 互连网 中 实现 以 隧道 两 端 全 球 IP 地 址 为 源 和 目的 IP 地 址 的 隧道 
报 文 障 道 两 端 之 间 传 输 过 程 的 传输 路 径 。 互 连 网 中 其 他 节点 之 间 的 传输 过 程 可 以 共享 隧 


道 经 过 的 传输 路 径 。 
(13) 以 下 哪 一 项 不 是 目前 常见 的 VPN 类 型 ?7(  ) 
A. IPSec 第 三 层 隧道 B. IPSec 第 二 层 隧道 
C. SSL VPN D. PPPoE VPN 
答案 : D 


【分 析 】 VPN 需要 满足 以 下 两 点 要 素 : 一 是 实现 互连网 两 端 之 间 无 法 直接 经 过 互 
连 网 传输 的 PDU 的 传输 过 程 ; 二 是 保障 经 过 互连网 传输 的 数据 的 保密 性 和 完整 性 。 
(14) 关于 隧道 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 隧道 两 端 是 分 配 全 球 IP 地 址 的 两 个 接口 
B. 允许 多 种 不 同 封装 格式 的 分 组 从 隧道 一 端 传输 到 隧道 另 一 端 
C. 经 过 隧道 传输 的 分 组 对 隧道 两 端 之 间 的 IP 传输 路 径 是 透明 的 
D. 经 过 隧道 传输 的 必须 是 传输 层 以 上 的 PDU 
答案 : D 
【分 析 】 链 路 层 帧 可 以 作为 第 二 层 隧 道 的 净 荷 ,因此 ,IPSec 和 隧道 结合 可 以 经 过 IP 
传输 路 径 安全 传输 链 路 层 帧 。 
(15) 关于 第 三 层 隧道 ,以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 隧道 报 文中 的 净 荷 是 以 私有 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 
B. 隧道 报 文中 的 净 荷 是 PPP 帧 
C. 隧道 报 文中 的 净 荷 是 HTTP 消息 
D. 隧道 报 文中 的 净 荷 是 以 全 球 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 
答案 : A 
【分 析 】 经 过 第 三 层 隧 道 传 输 的 且 无 法 直接 经 过 互连网 传输 的 PDU 是 以 和 有 了 IP 地 
址 为 源 和 目的 IP 地 址 的 IP 分 组 。 
(16) 关于 第 二 层 隧 道 , 以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 隧道 报 文中 的 净 荷 是 以 私有 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 
B. 隧道 报 文 中 的 净 荷 是 PPP 帧 
C. 隧道 报 文中 的 净 荷 是 HTTP 消息 
D. 隧道 报 文中 的 净 荷 是 以 全 球 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 
答案 : B 
【分 析 】 PPP 帧 是 其 中 一 种 经 过 第 二 层 隧道 传输 的 且 无 法 直接 经 过 互连网 传输 
的 PDU。 
(17) 对 于 IPSec 第 三 层 隧道 VPN , 互 连 内 部 网 络 与 Internet 的 边界 路 由 器 的 路 由 表 
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中 不 包含 以 下 哪 类 路 由 项 ? ( ) 
A. 用 于 指明 通 往 内 部 网 络 各 个 子 网 的 传输 路 径 的 路 由 项 
B. 用 于 指明 通 往 隧道 男 一 端的 传输 路 径 的 路 由 项 
C. 用 于 指明 通 往 直接 连接 的 内 部 网 络 子 网 和 互连网 子 网 的 传输 路 径 的 路 由 项 
D. 用 于 指明 通 往 互连网 中 所 有 子 网 的 传输 路 径 的 路 由 项 
答案 : D 
【分 析 】 作为 边界 路 由 器 ,与 互连网 相关 的 路 由 项 通常 只 需要 包含 用 于 指明 通 往 隧 
一 端的 传输 路 径 的 路 由 项 。 
(18) 对 于 IPSec 第 三 层 隧道 VPN, 以 下 哪 一 项 不 是 IPSec 实现 的 功能 ? ( ) 
A. 隧道 两 端 之 间 双 向 身份 鉴别 
B. 隧道 两 端 之 间 传输 的 数据 的 保密 性 
C. 隧道 两 端 之 间 传输 的 数据 的 完整 性 
D. 以 私有 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 跨 互 连 网 传输 过 程 
答案 : D 
【分 析 】 这 是 隧道 实现 的 功能 。 
(19) 以 下 哪 一 项 不 是 IPSec 提供 的 功能 ? ( ) 
A. 实现 使 用 私有 IP 地 址 的 IP 分 组 经 过 Internet 传输 
B. 保证 经 过 Internet 传输 的 数据 的 安全 性 
C. 实现 数据 的 源 端 鉴别 
D. 实现 源 端 和 目的 端 之 间 的 相互 身份 鉴别 
答案 : A 
【分 析 】 该 项 功能 由 隧道 实现 ,VPN 的 技术 基础 是 隧道 和 IPSec。 
(20) 关于 传统 拨号 接 入 过 程 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 





沿 
沽 


B. 基于 语音 信道 建立 PPP 链 路 
C. 接 入 控制 设备 基于 PPP 链 路 完成 对 远程 终端 的 身份 鉴别 过 程 
D. 远程 终端 与 内 部 网 络 交换 的 数据 直接 封装 成 PPP 帧 
答案 : D 
【分 析 】 远程 终端 与 内 部 网 络 交换 的 数据 先 封装 成 IP 分 组 ,然后 将 IP 分 组 封装 成 
PPP 帧 。 
(21) 关于 IPSec 第 二 层 隧道 VPN ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 建立 基于 第 二 层 隧道 的 PPP 链 路 
B. 接 入 控制 设备 基于 PPP 链 路 完成 对 远程 终端 的 身份 鉴别 过 程 
C. 接 入 控制 设备 对 远程 终端 分 配 内 部 网 络 私 有 IP 地 址 
D. 直接 经 过 第 二 层 隧 道 传输 构成 PPP 帧 的 字 节 流 
答案 : D 
【分 析 】 第 二 层 隧道 是 虚拟 点 对 点 链 路 ,不 能 直接 传输 构成 PPP 帧 的 字 节 流 。 需 要 
将 PPP 帧 封装 成 以 第 二 层 隧 道 两 端的 全 球 IP 地 址 为 源 和 目的 IP 地 址 的 隧道 报 文 ,第 二 
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层 隧 道 传输 的 是 隧道 报 文 。 


(22) 关于 IPSec 第 二 层 隧道 VPN 的 封装 过 程 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 以 私有 IP 地 址 为 源 和 目的 卫 地 址 的 卫 分 组 封装 成 PPP 帧 
B. PPP 帧 封装 成 第 二 层 隧道 格式 
C. 第 二 层 隧 道 格 式 封装 成 以 隧道 两 端 全 球 IP 地 址 为 源 和 目的 IP 地 址 的 隧道 
报 文 
D. 第 二 层 隧 道 用 隧道 两 端的 全 球 IP 地 址 唯一 标识 
答案 : D 
【分 析 】 每 一 个 远程 终端 与 接 入 控制 设备 之 间 有 着 独立 的 第 二 层 隧道 ,用 不 同 的 会 
话 标识 符 标识 各 个 独立 的 第 二 层 隧道 。 
(23) 关于 第 二 层 隧道 建立 过 程 ,以 下 哪 一 项 描述 是 正确 的 ?7 (  ) 
A. 建立 远程 终端 与 接 入 控制 设备 之 间 的 点 对 点 物理 链 路 
B. 建立 远程 终端 与 接 入 控制 设备 之 间 的 IP 传输 路 径 
C. 基于 点 对 点 物理 链 路 建立 PPP 链 路 
D. 完成 会 话 标识 符 分配 和 链 路 类 型 协商 过 程 
答案 : D 
【分 析 】 由 互连网 完成 建立 远程 终端 与 接 入 控制 设备 之 间 的 IP 传输 路 径 的 过 程 ,第 
二 层 隧 道 的 建立 过 程 其 实 就 是 隧道 两 端 完成 会 话 标识 符 分 配 和 链 路 类 型 协商 的 过 程 。 
(24) 关于 L2TP 控制 连接 建立 过 程 , 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 完成 LAC 与 LNS 之 间 的 双向 身份 鉴别 
B. LAC 和 LNS 分 配 本 地 控制 连接 标识 符 
C， 双方 约定 支持 的 虚拟 线路 类 型 
D. 建立 LAC 与 LNS 之 间 的 点 对 点 物理 链 路 
答案 : D 
【分 析 】 所 谓 的 控制 连接 建立 过 程 ,其 实 就 是 LAC 与 LNS 之 间 为 安全 可靠 传输 
L2TP 控制 消息 而 完成 的 一 次 协商 过 程 ,并 不 存在 建立 LAC 与 LNS 之 间 的 点 对 点 物理 
链 路 的 过 程 。 
(25) 关于 第 二 层 隧道 建立 过 程 ,以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. LAC 和 LNS 分 配 本 地 会 话 标识 符 
B. LAC 和 LNS 约定 虚拟 线路 类 型 
C. 确定 经 过 第 二 层 隧 道 传输 的 链 路 层 帧 类 型 
D. 建立 第 二 层 隧 道 经 过 的 IP 传输 路 径 
答案 : D 
【分 析 】 所 谓 的 第 二 层 隧 道 建立 过 程 ,只 是 一 个 在 第 二 层 隧道 两 端 之 间 协 商 第 二 层 
隧道 的 类 型 ,分配 会 话 标识 符 和 Cookie 的 过 程 ,不 存在 建立 实际 的 第 二 层 隧 道 两 端 之 间 
IP 传输 路 径 的 过 程 。 
(26) 关于 第 二 层 隧 道 , 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 第 二 层 隧道 是 基于 LAC 和 LNS 之 间 IP 传输 路 径 的 虚拟 物理 链 路 
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B. 可 以 建立 基于 第 二 层 隧道 的 PPP 链 路 
C. 可 以 经 过 PPP 链 路 传输 PPP 帧 
D. 可 以 经 过 LAC 与 LNS 之 间 的 第 二 层 隧道 直接 传输 PPP 帧 
答案 : D 
【分 析 】 由 于 第 二 层 隧 道 是 基于 LAC 和 LNS 之 间 IP 传输 路 径 的 虚拟 物理 链 路 , 因 
此 ,PPP 帧 只 有 封装 成 以 LAC 和 LNS 的 全 球 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 后 ， 
才能 经 过 LAC 和 LNS 之 间 的 IP 传输 路 径 传输 。 
(27) 关于 IP Sec 第 二 层 隧道 VPN 的 缺陷 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 终端 需要 配置 与 建立 IKE 安全 关联 相关 的 参数 
B. 终端 需要 配置 与 建立 IPSec 安全 关联 相关 的 参数 
C. 终端 配置 的 安全 参数 必须 与 LNS 配置 的 安全 参数 一 致 
D. 终端 发 起 远程 接 入 过 程 
答案 : D 
【分 析 】 无 论 何 种 远程 终端 接 入 内 部 网 络 的 过 程 ,通常 都 是 由 远程 终端 发 起 接 入 内 
部 网 络 的 过 程 。 
(28) 以 下 哪 一 项 和 VPN 接 入 无 关 ? (。 ) 
A. 远程 终端 分 配 内 部 网 络 私有 IP 地 址 
B. 连接 Internet 的 远程 终端 访问 内 部 网 络 中 的 资源 
C. 建立 远程 终端 与 内 部 网 络 连接 Internet 的 路 由 器 之 间 的 安全 隧道 
D. 远程 终端 拨号 接 人 方式 接 人 Internet 
答案 : D 
【分 析 】 远程 终端 需要 连接 在 Internet 上 ,分 配 全 球 IP 地 址 ,但 无 须 指 定 远程 终端 
接 人 Internet 的 方式 。 
(29) 关于 SSL VPN, 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 终端 客户 端 可 以 是 浏览 器 
B. 可 以 基于 用 户 分 配 访问 权限 
C. 用 于 实现 连接 在 互连网 上 的 远程 终端 访问 内 部 网 络 资源 的 过 程 
D. 需要 建立 基于 远程 终端 与 SSL VPN 网 关 之 间 IP 传输 路 径 的 第 三 层 隧道 
答案 : D 
【分 析 】 连接 在 互连网 上 的 远程 终端 分 配 全 球 IP 地 址 ,直接 访问 同样 连接 在 互连网 
上 、 分 配 全 球 IP 地 址 的 SSL VPN 网 关 。 远 程 终端 与 SSL VPN 网 关 之 间 直接 传输 以 远 
程 终端 和 SSL VPN 网 关 的 全 球 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 。 
(30) 关于 家 庭 局 域 网 中 分 配 私 有 全 地 址 的 终端 ,以 下 哪 一 项 描述 是 正确 的 ? ( 。 ) 
A. 通过 SSL VPN 远程 接 入 内 部 网 络 
B. 通过 IPSec 第 二 层 隧道 VPN 远程 接 入 内 部 网 络 
C. 通过 IPSec 第 三 层 隧道 VPN 远程 接 入 内 部 网 络 
D. 通过 Cisco Easy VPN 远程 接 入 内 部 网 络 
答案 : A 
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【分 析 】 家 庭 局 域 网 中 分 配 私有 IP 地 址 的 终端 只 能 通过 SSL VPN 远程 接 入 内 部 
网 络 。 


10.3 名 词 解释 


(1) VPN 

一 种 通过 Internet 实现 企业 局 域 网 之 间 互 连 和 远程 终端 与 内 部 网 络 之 间 互 连 ,但 又 
使 其 具有 专用 网 络 所 具有 的 安全 性 的 技术 。 

(2) 企业 专用 网 络 

由 专用 的 点 对 点 物理 链 路 实现 各 个 子 网 之 间 互 连 的 企业 网 。 

(3) 远程 接 入 过 程 

一 个 与 内 部 网 络 相隔 甚 远 的 终端 接 入 内 部 网 络 , 并 访问 内 部 网 络 资源 的 过 程 。 

(4) 隧道 

一 种 实现 互连网 两 端 之 间 无 法 直接 经 过 互连网 传输 的 PDU 的 传输 过 程 的 技术 。 

(5) IPSec 第 三 层 隧道 VPN 

一 种 通过 隧道 实现 以 私有 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 跨 互连网 传输 的 过 
程 ,通过 IPSec 实现 经 过 隧道 传输 的 数据 的 保密 性 和 完整 性 的 VPN。 

(6) IPSec 第 二 层 隧 道 VPN 

一 种 通过 隧道 实现 PPP 帧 跨 互 连 网 传输 的 过 程 , 通 过 IPSec 实现 经 过 隧道 传输 的 数 
据 的 保密 性 和 完整 性 的 VPN。 

(7) SSL VPN 

一 种 基于 HTTPS 实现 远程 终端 访问 内 部 网 络 资源 过 程 的 VPN。 

(8) L2TP 

一 种 动态 建立 基于 Internet 的 第 二 层 隧 道 或 虚拟 线路 的 信 令 协议 。 

(9) LAC 

一 种 ISP 接 人 控制 设备 ,允许 多 个 远程 终端 同时 通过 接 人 网 络 建立 与 该 ISP 接 入 控 
制 设备 之 间 的 传输 通路 ,并 通过 该 ISP 接 入 控制 设备 接 入 内 部 网 络 。 

(10) LNS 

内 部 网 络 连接 Internet 的 接 入 控制 设备 。 


11.1 例题 解析 


11.1.1 简 答题 解析 


【例题 11.1】 简 述 无 状态 分 组 过 滤器 控制 网 络 间 数 据 传输 的 过 程 。 

【解析 】 定义 一 个 由 一 组 规则 组 成 的 分 组 过 滤器 ,规则 指定 了 正常 转发 和 丢弃 的 IP 
分 组 类 型 ,将 该 分 组 过 滤器 作用 于 路 由 器 接口 的 输入 或 输出 方向 , 当 某 个 IP 分 组 需要 从 
该 路 由 器 接口 输入 或 输出 时 ,依照 顺序 和 该 分 组 过 滤器 中 的 规则 逐个 匹配 ,一 旦 和 某 个 规 
则 匹配 , 则 对 该 IP 分 组 施加 规则 指定 的 操作 。 

【例题 11.2】 简 述 有 状态 分 组 过 滤器 控制 网 络 间 数 据 传输 的 过 程 。 

【解析 】 一 般 需 要 定义 分 组 过 滤器 和 监测 机 制 , 然 后 将 分 组 过 滤器 和 监测 机 制作 用 
于 路 由 器 接口 的 输入 或 输出 方向 ,一 旦 某 个 IP 分 组 需要 从 该 路 由 器 接口 输入 或 输出 , 首 
先 和 该 路 由 器 已 经 建立 的 会 话 匹配 ,如 果 该 IP 分 组 和 某 个 已 经 建立 的 会 话 匹 配 , 则 直接 
转发 该 IP 分 组 。 和 否则 ,和 同方 向 的 分 组 过 滤器 进行 匹配 操作 ,如 果 匹 配 的 结果 是 允许 正 
常 转发 , 且 该 IP 分 组 的 净 荷 是 监测 机 制 指定 的 传输 层 或 应 用 层 协议 的 协议 数据 单元 , 则 
创建 对 应 会 话 。 会 话 通常 是 用 于 传输 应 用 层 消息 的 TCP 连接 ,当然 也 可 以 是 两 个 UDP 
进程 之 间 的 数据 交换 过 程 ,或 是 一 次 ICMP ECHO 请 求 和 响应 过 程 。 

和 无 状态 分 组 过 滤器 不 同 , 一 是 只 有 在 该 IP 分 组 没有 和 路 由 器 已 经 建立 的 会 话 匹配 
的 情况 下 , 才 需 要 和 该 IP 分 组 相同 传输 方向 的 分 组 过 滤器 进行 匹配 操作 ,并 对 该 IP 分 组 
施加 匹配 规则 指定 的 操作 。 二 是 一 旦 该 IP 分 组 与 相同 传输 方向 的 分 组 过 滤器 匹配 操作 
的 结果 是 正常 转发 , 且 该 IP 分 组 的 净 荷 是 监测 机 制 指定 的 传输 层 或 应 用 层 协议 的 协议 数 
据 单元 , 则 创建 对 应 会 话 。 创 建 会 话 后 ,两 个 传输 方向 所 有 属于 该 会 话 的 IP 分 组 将 直接 
转发 ,这 些 IP 分 组 的 转发 操作 与 两 个 方向 配置 的 分 组 过 滤器 无 关 。 

【例题 11.3】 简 述 两 个 特定 终端 之 间 传 输 的 IP 分 组 和 两 个 特定 用 户 之 间 传 输 的 IP 
分 组 的 区 别 。 

【解析 】 为 了 确定 某 个 IP 分 组 的 发 送 和 接收 用 户 , 首 先 需 要 鉴别 用 户 身 份 ,在 鉴别 
用 户 身份 的 过 程 中 建立 该 用 户 与 卫 地 址 之 间 的 绑 定 关系 ,这 种 绑 定 关系 是 动态 的 ,因为 
同一 用 户 可 以 通过 不 同 的 终端 发 送 和 接收 数据 。 在 该 用 户 与 IP 地 址 之 间 的 绑 定 关系 存 
在 期 间 , 可 以 通过 检测 源 和 目的 IP 地 址 是 否 是 该 用 户 绑 定 的 IP 地 址 确定 该 IP 分 组 是 否 
由 该 用 户 发 送 或 接收 。 为 了 防止 源 IP 地 址 欺骗 ,有 时 需要 通过 安全 协议 AH 保证 他 分 
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组 传输 过 程 中 的 完整 性 。 
11.1.2 设计 题解 析 


【例题 11. 4】 网 络 结构 如 图 11. 1 所 示 ,如 果 要 禁止 LAN 1 和 LAN 2 之 间 的 信息 传 
输 过 程 , 如 何在 路 由 器 中 设置 无 状态 分 组 过 滤器 ? 如 果 只 允许 LAN 1 内 终端 访问 LAN 
2 内 的 Web 服务 器 ,禁止 其 他 信息 的 传输 过 程 ,如 何在 路 由 器 中 设置 无 状态 分 组 过 滤器 ? 












LAN1 LAN2 
193.1.1.024 193.1.2.024 
Rl R2 
@B—@ ~ 纺 ) 日 
Web 服 务 器 
FTP 服 务 器 
193.1.13 口 加 5 
[ 国 | 
终端 A 终 滴 B 
193.1,1.7 193.1241 
图 11.1 互连网 结构 


【解析 】 

(1) 如 果 要 禁止 LAN 1 和 LAN 2 之 间 的 信息 传输 过 程 ,路 由 器 R1 接口 1 输入 方向 
配置 如 表 11. 1 所 示 的 分 组 过 滤器 。 输 出 方向 配置 如 表 11. 2 所 示 的 分 组 过 滤器 。 

同样 ,路 由 器 R2 接口 2 输入 方向 配置 如 表 11. 3 所 示 的 分 组 过 滤器 ,输出 方向 配置 
如 表 11.4 所 示 的 分 组 过 滤器 。 

表 11.1 路 由 器 R1 接口 1 输入 方向 分 组 过 滤器 

规则 号 | 协议 源 IP 地 址 目的 人 地 址 源 端 口号 目的 端口 号 动作 

1 * 193.1.1.0/24 | 193.1.2.0/24 _ _ 拒绝 
x x * _ 允许 
注 : * 表示 任意 ,表示 没有 该 项 配置 ,后 同 。 
表 11.2 路 由 器 R1 接口 1 输出 方向 分 组 过 滤器 
规则 号 | 协议 源 亿 地址 目的 地址 源 端 口号 目的 端口 号 动作 

1 < 193.1.2.0/24 | 193.1.1.0/24 拒绝 


2 关 关 关 允许 














表 11.3 路 由 器 R2 接口 2 输入 方向 分 组 过 滤器 
规则 号 | 协议 源 瑟 地址 目的 IP 地 址 源 端 口号 | 目的 端口 号 | 动作 
1 * 193.1.2.0/24 | 193.1.1.0/24 拒绝 


2 * * * 允许 
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表 11.4 路 由 器 R2 接口 2 输出 方向 分 组 过 滤器 








规则 号 | 协议 源 IP 地 址 目的 耳 地 址 源 端口 号 目的 端口 号 动作 
i x 193.1.1.0/24 | 193.1.2.0/24 _ 拒绝 
区 x x 和 允许 


(2) 如 果 只 允许 LAN 1 内 终端 访问 LAN 2 内 的 Web 服务 器 ,禁止 其 他 信息 的 传输 
过 程 ,路 由 器 R1 接口 1 输入 方向 配置 如 表 11. 5 所 示 的 分 组 过 滤器 ,输出 方向 配置 如 








表 11.6 所 示 的 分 组 过 滤器 。 


同样 ,路 由 器 R2 接口 2 输入 方向 配置 如 表 11. 7 所 示 的 分 组 过 滤器 ,输出 方向 配置 


如 表 11. 8 所 示 的 分 组 过 滤器 。 


表 11.5 路 由 器 R1 接口 1 输入 方向 分 组 过 滤器 
























































规则 号 | 协议 源 他 地 址 目的 IP 地 址 源 端口 号 目的 端口 号 动作 

1 TCP | 193.1.1.0/24 | 193.1.2.5/32 >1023 80 允许 

2 国 x x 拒绝 
表 11.6 路 由 器 R1 接口 1 输出 方向 分 组 过 滤器 

规则 号 | 协议 源 IP 地 址 目的 IP 地 址 源 端 口号 目的 端口 号 动作 

1 TCP | 193.1.2.5/32 | 193.1.1.0/24 80 >1023 允许 

2 # # x 拒绝 
表 11.7 路 由 器 R2 接口 2 输入 方向 分 组 过 滤器 

规则 号 | 协议 源 IP 地 址 目的 IP 地 址 源 端 口号 目的 端口 号 动作 

| TCP | 193.1.2.5/32 | 193.1.1.0/24 80 >1023 允许 

2 # x # 2 拒绝 
表 11.8 路 由 器 R2 接口 2 输出 方向 分 组 过 滤器 

规则 号 | 协议 源 IP 地 址 目的 记 地 址 源 端口 号 目的 端口 号 动作 

和 TCP | 193.1.1.0/24 | 193.1.2.5/32 >1023 80 允许 

2 x x x 3 _ 拒绝 


【例题 11. 5】 对 于 如 图 11. 1 所 示 的 网 络 , 如 果 安 全 策略 是 “只 允许 经 过 路 由 器 传输 
与 终端 A 访问 Web 服务 器 ,终端 B 访 问 FTP 服务 器 操作 有 关 的 IP 分 组 ,禁止 经 过 路 由 
器 传输 其 他 一 切 类 型 的 IP 分 组 ”, 给 出 路 由 器 R1 和 R2 实现 上 述 安 全 策略 的 有 状态 分 组 
过 滤器 配置 。 

【解析 】 路 由 器 R1 接口 1 输入 方向 配置 的 分 组 过 滤器 如 表 11. 9 所 示 , 只 允许 与 终 
端 A 发 起 访问 Web 服务 器 的 过 程 相关 的 卫 分 组 通过 。 输 出 方向 配置 的 分 组 过 滤器 如 
表 11. 10 所 示 , 只 允许 与 终端 B 发 起 访问 FTP 服务 器 的 过 程 相关 的 IP 分 组 通过 。 初 始 
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状态 下 ,路 由 器 R1 接口 1 输入 方向 禁止 FTP 服务 器 传输 给 终端 B 的 IP 分 组 通过 ,输出 
方向 禁止 Web 服务 器 传输 给 终端 A 的 IP 分 组 通过 。 

路 由 器 R2 接口 2 输入 输出 方向 配置 的 分 组 过 滤器 分 别 如 表 11. 11 和 表 11. 12 所 示 ， 
其 作用 与 路 由 器 R1 接口 1 输入 输出 方向 配置 的 分 组 过 滤器 相似 。 

为 了 保证 在 终端 A 向 Web 服务 器 发 送 HTTP 请 求 消息 后 ,允许 路 由 器 R1 接口 1 
输出 方向 输出 该 HTTP 请 求 消息 对 应 的 响应 消息 。 需 要 在 路 由 器 R1 接口 1 输入 方向 设 
置 针对 应 用 层 协 议 HTTP 的 监测 器 ,一 旦 路 由 器 R1 接口 1 输入 方向 监测 到 终端 A 发 送 
给 Web 服务 器 的 HTTP 请 求 消息 , 则 在 路 由 器 R1 接口 1 输出 方向 动态 生成 允许 该 
HTTP 请 求 消息 对 应 的 响应 消息 通过 的 过 滤 规则 。 同 样 , 需 要 在 路 由 器 Rl 接口 1 输出 
方向 设置 针对 应 用 层 协议 FTP 的 监测 器 。 


表 11.9 路 由 器 R1 接口 1 输入 方向 分 组 过 滤器 


规则 号 | 协议 源 了 地 址 目的 IP 地 址 源 端 口号 目的 端口 号 动作 





1 TCP 193.1.1.7/32 193. 1.2.5/32 >1023 80 允许 





关 关 关 拒绝 


表 11.10 路 由 器 R1 接口 1 输出 方向 分 组 过 滤器 


规则 号 | 协议 源 IP 地 址 目的 IP 地 址 源 端口 号 目的 端口 号 动作 











1 TCP | 193.1.2.1/32 | 193.1.1.3/32 >1023 21 允许 
2 TCP | 1093,1.2:1/32 | 39351. 王 3/32 >1023 20 允许 
3 关 x* 关 _ 拒绝 


表 11.11 路 由 器 R2 接口 2 输入 方向 分 组 过 滤器 


规则 号 | 协议 源 瑟 地 址 目的 IP 地 址 源 端口 号 目的 端口 号 动作 











1 TCP | 1982 | 9%:1. .3/32 >1023 21 允许 
2 TCP | 193,1.2.1/32. | 193 二 二 3732 >1023 20 允许 
3 x* 关 关 _ 拒绝 


表 11.12 路 由 器 R2 接口 2 输出 方向 分 组 过 滤器 


规则 号 | 协议 源 IP 地 址 目的 IP 地 址 源 端口 号 目的 端口 号 动作 





1 TCP_ | 198.1.17732 | -到 352.5/32 >1023 80 允许 





2 关 x * _ _ 拒绝 




















【例题 11. 6】 网 络 结构 如 图 11. 2 所 示 , 内 部 网 络 被 分 成 5 个 网 络 (VLAN 1 一 
VLAN 5) ,分 别 分 配 网 络 地 址 200. 1. 1. 0/24、200. 1. 2. 0/24、200. 1. 3.0/24、200. 1. 4. 0/ 
24 和 200. 1. 5.0/24, 请 制定 符合 下 列 安全 策略 的 访问 控制 策略 ,并 根据 访问 控制 策略 解 
释 防 火 墙 阻止 属于 VLAN 3 的 终端 访问 非 军事 区 中 的 服务 器 的 工作 机 制 。 

。 允许 属于 VLAN 1 的 终端 访问 内 部 网 络 服务 器 、 非 军事 区 中 的 服务 器 和 Internet 
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中 的 Web 和 FTP 服务 器 。 
， 允许 属 于 VLAN 2 的 终端 访问 内 部 网 络 服务 器 和 非 军 事 区 中 的 Web 服务 器 。 
， 允许 属于 VLAN 3 的 终端 访问 内 部 网 络 服务 器 。 



















2 200.1.4 公 、 
7 FTP 服 务 器 、\、 
/ \ 
/ S 
| \ 
\ 
/200.11.1 \ 
\ 
| \ 防火 墙 
上 
| 200.12.1 1! 193.1.3.1 | (en) 
\ 200.15.11 加 |3 
| 信任 区 
\ /1 2|193.1.2254 非 信人 
\ 200.13.1 / 
% / 
7 LAN2 
\、 mao0) 2 
入 200141 ,7 非 军事 区 
NN 内 部 网 络 Web 服 务 器 
“~、、 信任 区 一 
193.1.2.5 。 193.1.2.6 
Web 服 务 器 邮件 服务 器 
图 11.2 网 络 结构 


【解析 】 防火 墙 配 置 的 访问 控制 策略 如 表 11. 13 所 示 。 如 果 属 于 VLAN 3 的 终端 
发 起 访问 非 军事 区 中 的 服务 器 的 过 程 ,属于 VLAN 3 的 终端 发 送 一 个 源 IP 地 址 为 200. 
1.3.0/24\ 目 的 IP 地 址 为 193.1.2.5/32 或 者 193.1.2.6/32 的 IP 分 组 , 当 防 火 墙 通过 接 
口 1 接收 到 该 IP 分 组 ,根据 IP 分 组 的 目的 IP 地 址 检索 路 由 表 , 确 定 通 过 接口 2 转发 该 
IP 分 组 ,由 于 接口 1 绑 定 信任 区 、 接 口 2 绑 定 非 军事 区 ,在 表 11. 13 所 示 的 访问 控制 策略 
中 检索 信息 流动 方向 为 从 信任 区 到 非 军事 区 , 源 IP 地 址 =200.1.3.0/24, 目 的 IP 地 址 为 
193. 1. 2. 5/32 或 者 193. 1. 2. 6/32 的 访问 控制 策略 。 由 于 表 11. 13 所 示 的 访问 控制 策略 
中 不 存在 符合 上 述 条 件 的 访问 控制 策略 ,因此 防火 墙 丢 弃 该 他 分 组 。 


表 11.13 防火 墙 配置 的 访问 控制 策略 














信息 流动 方向 源 也 地 址 目的 卫 地 址 服 务 
从 信任 区 到 非 军 事 区 200.1.1.0/24 193. 1.2.5/32 HTTP 
从 信任 区 到 非 军事 区 200.1.1.0/24 193.1.2.6/32 SMTP 十 POP3 
从 信任 区 到 非 军 事 区 200.1. 2. 0/24 193.1.2.5/32 HTTP 
从 信任 区 到 非 信任 区 200.1.1.0/24 x HTTP+FTP 











【例题 11.7】 对 于 如 图 11. 3 所 示 的 网 络 结构 , 列 出 四 种 实现 远程 终端 访问 内 部 网 
络 Web 服务 器 过 程 的 方法 ,给 出 实现 远程 访问 过 程 需要 的 配置 ,并 比较 这 四 种 方法 的 优 
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图 11.3 网 络 结构 
【解析 】 


(1) 静态 端口 映射 
静态 配置 全 局 端口 号 80 与 Web 服务 器 私有 IP 地 址 192. 168. 1.7 之 间 的 映射 ,在 路 
由 器 R 中 建立 如 表 11. 14 所 示 的 地 址 转换 表 , 远 程 终端 可 以 通过 IP 地址 7.7.7.7 和 端口 
号 80 访问 Web 服务 器 。 
表 11.14 路 由 器 R 地址 转换 表 
协 议 Inside Local Inside Global 





TCP 192. 168. 1.7:80 7.7.7.7:80 


(2) 第 二 层 隧道 VPN 

路 由 器 R 作 为 LNS, 远 程 终端 通过 第 二 层 隧道 VPN 接 入 内 部 网 络 ,分 配 私有 IP 地 
址 ,然后 像 内 部 网 络 终端 一 样 访问 Web 服务 器 。 

@ 远程 终端 配置 信息 

第 二 层 隧道 控制 协议 : L2TP。 

LNS 地 址 ; 7.7.7.7。 

用 户 名 : 用 户 A。 

密码 : PASSA。 

鉴别 协议 : CHAP。 

@ LNS 配置 信息 

第 二 层 隧道 控制 协议 : L2TP。 

本 地 IP 地 址 池 : 192. 168. 2. 1~192. 168. 2. 100。 

注册 用 户 库 如 表 11. 15 所 示 。 


表 11.15 注册 用 户 库 


用 户 名 密码 监 别 协议 
用 户 A PASSA CHAP 
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@ 远程 接 入 用 户 访问 企业 内 部 网 络 资源 的 过 程 
通过 L2TP 建立 远程 终端 与 LNS 之 间 的 第 二 层 隧道 。 
远程 终端 与 LNS 之 间 建 立 基 于 第 二 层 隧道 的 PPP 链 路 。 
LNS 完成 对 远程 终端 用 户 的 身份 鉴别 过 程 。 
LNS 在 本 地 IP 地 址 池 中 选择 一 个 未 使 用 的 本 地 IP 地 址 (如 192. 168. 2. 1) ,将 其 
分 配给 远程 终端 ,并 在 路 由 表 中 创建 一 项 将 该 本 地 IP 地 址 和 远程 终端 与 LNS 之 
间 的 第 二 层 隧道 绑 定 在 一 起 的 路 由 项 。 
远程 终端 用 LNS 分 配 的 本 地 IP 地 址 , 像 企业 内 部 网 络 中 的 终端 一 样 访问 企业 内 
部 网 络 资源 。 

(3) SSL VPN 

路 由 器 及 具备 SSL VPN 网 关 功 能 。 

@ SSL VPN 网 关 完 成 证 书 申请 过 程 ,远程 终端 获取 证 明 SSL VPN 网 关 的 IP 地 址 
7.7.7.7 与 其 公 钥 之 间 绑 定 关 系 的 证 书 。 

@ SSL VPN 网 关 配置 如 表 11. 16 所 示 的 注册 用 户 库 , 注 册 用 户 库 中 列 出 所 有 注册 
用 户 的 用 户 名 和 密码 。 

@ 为 每 一 个 注册 用 户 分 配 访问 权限 ,建立 如 表 11. 17 所 示 的 用 户 权限 表 。 用 户 权 限 用 
该 注册 用 户 能 够 访问 的 对 象 表示 ,每 一 个 对 象 用 URL 唯一 标识 。 用 URL==192. 168. 1.7 标 
识 Web 服务 器 主页 。 

@ 每 一 个 注册 用 户 可 以 登录 SSL VPN 网 关 , 成 功 登 录 后 ,给 出 URL 列表 ,URL 列 
表 中 是 一 组 标识 授权 该 注册 用 户 访问 的 对 象 的 URL。 








表 11.16 注册 用 户 库 表 11.17 用 户 权限 表 
用 户 名 密码 用 户 名 访问 权限 
用 户 A PASSA 用 户 A URL=http://192. 168. 1.7 
(4) 电路 层 网 关 


路 由 器 R 作为 电路 层 网 关 , 配 置 如 表 11. 18 所 示 的 授权 用 户 库 和 如 表 11. 19 所 示 的 
用 户 权限 表 。 远 程 终端 首先 建立 与 路 由 器 R 之 间 的 TCP 连接 ,然后 由 路 由 器 R 完成 对 
远程 用 户 的 身份 鉴别 过 程 。 最 后 由 远程 终端 向 路 由 器 R 发 出 请 求 建立 与 Web 服务 器 之 
间 的 TCP 连接 的 请 求 ,由 于 用 户 权 限 表 中 表明 用 户 A 具有 建立 与 私有 IP 地 址 为 
192. 168.1.7 的 Web 服务 器 之 间 的 TCP 连接 的 权限 ,路 由 器 R 建立 与 Web 服务 器 之 间 
的 TCP 连接 ,并 建立 如 表 11. 20 所 示 的 远程 终端 与 路 由 器 R 之 间 的 TCP 连接 和 路 由 器 
R 与 Web 服务 器 之 间 的 TCP 连接 之 间 的 映射 。 其 中 192. 168. 1. 1 是 路 由 器 R 连接 内 部 


网 络 的 接口 的 私有 IP 地 址 。 
表 11.18 授权 用 户 库 表 11.19 用 户 权限 表 
用 户 名 密码 访问 权限 








用 户 名 
用 户 A PASSA 传输 层 协议 目的 端 插口 


用 户 A TCR 192. 168. 1.7:80 











第 1{ 章 ， 防 火 墙 \® 


表 11.20 TCP 连接 映射 表 








远程 终端 与 路 由 器 R 之 间 的 TCP 连接 路 由 器 R 与 Web 服务 器 之 间 的 TCP 连接 
终端 插口 路 由 器 R 插口 路 由 器 R 插口 Web 服务 器 插口 
3.3.3.3:1273 7.7.7.7:1080 192. 168. 1. 1:2373 192. 168. 1.7:80 











(5) 四 种 方法 比较 分 析 

@ 透明 性 

SSL VPN 网 关 和 静态 端口 映射 方法 下 ,内 部 网 络 Web 服务 器 对 于 远程 终端 是 透明 
的 。 电 路 层 代理 和 第 二 层 隧 道 VPN 方法 下 ,远程 终端 需要 知道 内 部 网 络 Web 服务 器 的 
私有 IP 地址 。 

@ 可 控制 性 

SSL VPN 网 关 ,、 静 态 端口 映射 和 电路 层 代 理 都 可 将 远程 终端 对 内 部 网 络 的 访问 权限 
严格 控制 为 只 对 Web 服务 器 的 访问 。 第 二 层 隧道 VPN 如 果 没 有 与 其 他 安全 机 制 相 结 
合 ,远程 终端 可 以 像 内 部 网 络 终端 一 样 访问 内 部 网 络 资源 。 

@ 安全 性 

SSL VPN 和 第 二 层 隧道 VPN 可 以 保证 远程 终端 与 路 由 器 R 之 间 传 输 信息 的 保密 
性 和 完整 性 ,但 静态 端口 映射 和 电路 层 代理 没有 这 一 功能 。 

@ 方便 性 

远程 终端 可 以 用 标准 浏览 器 实现 SSL VPN 网 关 、 静 态 端 口 映射 和 电路 层 代理 方法 
下 对 内 部 网 络 Web 服务 器 的 访问 过 程 。 但 远程 终端 需要 专用 客户 端 软 件 实现 第 二 层 隧 
道 VPN 方法 下 对 内 部 网 络 Web 服务 器 的 访问 过 程 。 

【例题 11. 8】 双重 宿主 主机 体系 结构 如 图 11. 4 所 示 ,其 中 的 保 垒 主机 是 电路 层 代 
理 , 用 于 控制 远程 终端 对 内 部 网 络 Web 服务 器 的 访问 过 程 。 给 出 实现 上 述 功 能 的 堡垒 主 
机 的 配置 。 











cb 服务 器 。 / 
.168.1.7124 // 


总 三 


图 11.4 双重 宿主 主机 体系 结构 


【解析 】 双重 宿主 主机 体系 结构 中 的 堡垒 主机 如 图 11. 4 所 示 ,存在 两 个 网 络 接口 ， 
一 个 网 络 接口 用 于 连接 Internet, 另 一 个 网 络 接口 用 于 连接 内 部 网 络 。 远 程 终端 可 以 通 
过 堡垒 主机 连接 Internet 接口 的 卫 地 址 访问 堡垒 主机 。 内 部 网 络 对 于 远程 终端 是 透明 
的 。 但 内 部 网 络 中 的 Web 服务 器 对 于 授权 用 户 不 是 透明 的 。 堡 又 主机 中 需要 配置 如 
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表 11. 21 所 示 的 授权 用 户 库 ,授权 用 户 库 中 给 出 所 有 授权 用 户 的 用 户 名 和 密码 。 同 时 ,还 
需 配置 如 表 11. 22 所 示 的 用 户 权限 表 , 用 户 权限 表 针 对 每 一 个 授权 用 户 给 出 该 授权 用 户 
允许 访问 的 服务 器 ,以 及 访问 该 服务 器 时 使 用 的 传输 层 协 议 。 

















表 11.21 授权 用 户 库 表 11.22 用 户 权限 表 
用 户 名 密码 访问 权限 
用 户 名 
用 户 A PASSA 传输 层 协议 目的 端 插口 
用 户 B PASSB 用 户 A TCP 192. 168.1.7:80 
用 户 B TCP 192. 168. 1.7:80 








完成 上 述 配置 后 ,授权 用 户 可 以 通过 URL=http : //7.7.7.7 : 1080 登录 堡垒 主机 ， 
堡垒 主机 完成 对 授权 用 户 的 身份 鉴别 过 程 后 ,作为 代理 建立 与 内 部 网 络 Web 服务 器 之 间 
的 TCP 连接 ,然后 ,建立 远程 终端 与 堡 驹 主机 之 间 的 TCP 连接 和 堡垒 主 机 与 内 部 网 络 
Web 服务 器 之 间 TCP 连接 的 映射 。 

【例题 11. 9】 被 屏蔽 主机 体系 结构 如 图 11.5 所 示 , 其 中 的 堡垒 主机 是 电路 层 代 理 ， 
用 于 控制 远程 终端 对 内 部 网 络 Web 服务 器 的 访问 过 程 。 给 出 实现 上 述 功能 的 堡垒 主机 
和 路 由 器 R 的 配置 。 
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图 11.5 被 屏蔽 主机 体系 结构 


【解析 】 由 于 内 部 网 络 对 于 远程 终端 是 透明 的 ,因此 ,路 由 器 R 需要 配置 如 表 11. 23 
所 示 的 静态 地 址 转换 表 , 地 址 转换 表 中 建立 7.7.7.7: 1080 和 192.168.1.3: 1080 之 间 的 
上 映射。 为 了 保证 远程 终端 只 能 访问 到 内 部 网 络 中 的 堡垒 主机 ,路 由 器 人 接口 2 输入 / 输 
出 方向 分 别 配置 表 11. 24 和 表 11. 25 所 示 的 分 组 过 滤器 。 堡 又 主机 中 配置 的 授权 用 户 库 
和 用 户 权限 表 如 表 11. 21 和 表 11. 22 所 示 。 
表 11.23 路 由 器 R 地址 转换 表 
协议 Inside Local Inside Global 








TCP 192. 168. 1. 3:1080 7.7.7.7:1080 
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表 11.24 路 由 器 R 接口 2 输入 方向 分 组 过 滤器 
规则 号 | 协议 源 卫 地址 目的 耳 地 址 源 端口 号 | 目的 端口 号 | 动作 
1 TCP | 192.168.1.3/32 * 1080 >1023 允许 
2 x x x _ 拒绝 








表 11.25 路 由 器 R 接口 2 输出 方向 分 组 过 滤器 
规则 号 | 协议 源 IP 地 址 目的 也 地址 源 端口 号 目的 端口 号 动作 
1 TO? 关 192. 168. 1. 3/32 >1023 1080 允许 
2 # x x 拒绝 


























完成 上 述 配置 后 ,授权 用 户 可 以 通过 URL=http : //7.7.7.7: 1080 登录 堡垒 主机 ， 
堡垒 主机 完成 对 授权 用 户 的 身份 鉴别 过 程 后 ,作为 代理 建立 与 内 部 网 络 Web 服务 器 之 间 
的 TCP 连接 ,然后 ,建立 远程 终端 与 堡 参 主机 之 间 的 TCP 连接 和 堡 主 机 与 内 部 网 络 
Web 服务 器 之 间 TCP 连接 的 映射 。 

【例题 11. 10】 被 屏蔽 子 网 体系 结构 如 图 11.6 所 示 , 路 由 器 R1 和 R2 之 间 的 网 络 
是 非 军事 区 。 其 中 的 堡垒 主机 是 电路 层 代 理 , 用 于 控制 远程 终端 对 内 部 网 络 Web 服务 
器 的 访问 过 程 。 要 求 远 程 终端 只 能 访问 非 军事 区 中 的 堡垒 主机 、Web 服务 器 和 邮件 服 
务 器 ,不 能 直接 访问 内 部 网 络 。 给 出 实现 上 述 功能 的 堡垒 主机 和 路 由 器 R1、R2 的 
配置 。 
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11.6 被 屏蔽 子 网 体系 结构 


【解析 】 路 由 器 R1 接口 2 输出 /输入 方向 分 别 配 置 如 表 11. 26 和 表 11. 27 所 示 的 分 
组 过 滤器 ,保证 远程 终端 只 能 访问 到 非 军 事 区 中 的 堡垒 主机 、Web 服务 器 和 邮件 服务 器 。 
假定 路 由 器 R2 接口 1 的 IP 地 址 是 200. 1. 1.7, 由 于 内 部 网 络 对 于 远程 终端 和 非 军事 区 
都 是 透明 的 ,因此 ,路 由 器 R2 需要 配置 如 表 11. 28 所 示 的 静态 地 址 转换 表 , 地 址 转换 表 
中 建立 200.1.1.7 : 80 和 192.168.1.7 : 80 之 间 的 映射 。 

为 了 保证 只 允许 由 非 军事 区 中 的 堡 参 主机 发 起 访问 内 部 网 络 中 的 Web 服务 器 的 过 
程 ,路 由 器 R2 接口 2 输出 /输入 方向 分 别 配置 如 表 11. 29 和 表 11. 30 所 示 的 分 组 过 滤器 。 
堡垒 主机 需要 配置 表 11. 21 所 示 的 授权 用 户 库 和 表 11. 31 所 示 的 用 户 权 限 表 。 
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表 11.26 路 由 器 R1 接口 2 输出 方向 分 组 过 滤器 




























































































规则 号 | 协议 源 IP 地 址 目的 人 P 地 址 源 端 口号 目的 端口 号 动作 
1 TCP x 200. 1.1.5/32 >1023 80 允许 
2 TCP x 200.1.1.6/32 >1023 25 允许 
3 TCP x 200.1.1.6/32 >1023 110 允许 
4 TCP x 200. 1.1.3/32 >1023 1080 允许 
5 条 x _ 拒绝 
表 11.27 路 由 器 Rl 接口 2 输入 方向 分 组 过 滤器 
规则 号 | 协议 源 IP 地 址 目的 耳 地 址 源 端口 号 目的 端口 号 动作 
TCP | 200.1.1.5/32 x 80 >1023 允许 
2 TCP | 200.1.1.6/32 x 25 >1023 允许 
3 TCP | 200.1.1.6/32 x 110 >1023 允许 
4 TCP | 200.1.1.3/32 x 1080 >1023 允许 
5 x 关 攻 拒绝 
表 11.28 R2 地 址 转换 表 
协 议 Inside Local Inside Global 
TCP 192. 168.1.7: 80 200.1.1.7: 80 
表 11.29 路 由 器 R2 接口 2 输出 方向 分 组 过 滤器 
规则 号 | 协议 源 卫 地 址 目的 记 地 址 源 端 口号 目的 端口 号 动作 
1 TCP | 200.1.1.3/32 | 192.168.1.7/32 >1023 80 允许 
2 # # 四 拒绝 
表 11.30 路 由 器 R2 接口 2 输入 方向 分 组 过 滤器 
规则 号 | 协议 源 了 P 地 址 目的 人 地 址 源 端口 号 目的 端口 号 动作 
1 TCP | 192.168.1.7/32 | 200.1.1.3/32 80 >1023 允许 
2 x x x _ 拒绝 
表 11.31 用 户 权限 表 
局 访问 权限 
传输 层 协 议 目的 端 插口 
用 户 A TCP 200.1.1.7:80 
用 户 B TCP 200.1.1.7:80 
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完成 上 述 配置 后 ,授权 用 户 可 以 通过 URL=http : //200. 1. 1.3 : 1080 登录 堡垒 主 
机 , 保 驹 主机 完成 对 授权 用 户 的 身份 鉴别 过 程 后 ,作为 代理 建立 与 内 部 网 络 Web 服务 器 
之 间 的 TCP 连接 ,然后 ,建立 远程 终端 与 堡 参 主 机 之 间 的 TCP 连接 和 堡垒 主机 与 内 部 网 
络 Web 服务 器 之 间 TCP 连接 的 映射 。 

【例题 11. 11】 分 析 双 重 宿主 主机 体系 结构 .被 屏蔽 主机 体系 结构 和 被 屏蔽 子 网 体 
系 结构 的 安全 性 。 

【解析 】 对 于 双重 宿主 主机 体系 结构 , 保 驹 主机 直接 暴露 在 Internet 中 ,所 有 远程 终 
端 可 以 访问 堡 人 主 机 ,因此 ,内 部 网 络 Web 服务 器 的 安全 完全 取决 于 保 垒 主机 的 安全 。 

对 于 被 屏蔽 主机 体系 结构 ,连接 Internet 和 内 部 网 络 的 边界 路 由 器 R 可 以 通过 分 组 
过 滤器 控制 远程 终端 对 保全 主机 的 访问 过 程 ,增加 了 远程 终端 攻击 保健 主机 的 难度 。 

对 于 被 屏蔽 子 网 体系 结构 ,连接 Internet 和 非 军事 区 的 边界 路 由 器 R1 可 以 通过 分 
组 过 滤器 控制 远程 终端 对 堡垒 主机 的 访问 过 程 , 连 接 非 军事 区 和 内 部 网 络 的 边界 路 由 器 
R2 可 以 通过 分 组 过 滤器 控制 堡垒 主机 对 内 部 网 络 Web 服务 器 的 访问 过 程 。 因 此 ,被 屏 
蔽 子 网 体系 结构 是 三 种 防火 墙 体系 结构 中 对 内 部 网 络 Web 服务 器 保护 最 严格 的 防火 墙 
体系 结构 。 


11.2 选择 题 分 析 


(1) 关于 防火 墙 ,以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. 阻 断 有 害 信息 从 一 个 网 络 进入 另 一 个 网 络 
B. 阻 断 有 害 信息 进入 终端 
C. 对 网 络 之 间 进 行 的 信息 交换 过 程 实施 控制 
D. 对 网 络 设备 实施 物理 保护 
答案 : D 
【分 析 】 网 络 安全 范畴 中 的 防火 墙 不 是 一 堵 用 于 对 网 络 设备 实施 物理 保护 的 墙 ,而 
是 一 种 对 网 络 之 间 ,或 者 网 络 与 终端 之 间 进 行 的 信息 交换 过 程 实施 控制 的 装置 。 
(2) 以 下 哪 一 项 不 属于 网 络 防火 墙 的 类 型 ? ( ) 
A. 分 组 过 滤器 B. 电路 层 代理 
C. 应 用 层 网 关 D. 堡垒 主机 
答案 : D 
【分 析 】 堡垒 主机 是 一 种 被 强化 的 可 以 防御 进攻 的 计算 机 ,安装 软件 防火 墙 后 ,也 可 
作为 防火 墙 使 用 。 根 据 安装 的 软件 防火 墙 功能 的 不 同 ,堡垒 主机 可 以 作为 分 组 过 滤器 . 电 
路 层 代 理 和 应 用 层 网 关 。 因 此 ,堡垒 主机 本 身 不 属于 网 络 防火 墙 类 型 。 
(3) 关于 防火 墙 , 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 不 能 防范 内 网 内 的 恶意 攻击 
B. 不 能 防范 针对 面向 连接 协议 的 攻击 
C. 不 能 防范 病毒 和 内 部 驱动 的 木马 
D. 不 能 防范 针对 防火 墙 开放 端口 的 攻击 
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答案 : B 
【分 析 】 有 状态 分 组 过 滤器 可 以 有 效 防范 针对 面向 连接 协议 的 攻击 。 
(4) 关于 无 状态 分 组 过 滤器 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 在 卫 分 组 流 中 过 滤 掉 具有 特定 属性 的 一 组 IP 分 组 
B. 属性 通常 包括 源 和 目的 IP 地 址 、 源 和 目的 端口 号 
C. 实施 筛选 和 控制 操作 时 ,每 一 个 IP 分 组 都 是 独立 的 
D. 控制 两 个 特定 用 户 之 间 的 信息 传输 过 程 
答案 : D 
【分 析 】 可 以 通过 源 和 目的 IP 地 址 确定 两 个 终端 ,也 可 以 通过 源 和 目的 端口 号 确定 
两 个 进程 ,但 一 般 无 法 根据 IP 分 组 携带 的 属性 确定 两 个 用 户 。 
(5) 关于 无 状态 分 组 过 滤器 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 无 状态 分 组 过 滤器 用 于 独立 确定 每 一 个 IP 分 组 是 正常 转发 还 是 丢弃 
B. 作用 于 一 个 方向 的 无 状态 分 组 过 滤器 只 能 控制 该 方向 的 IP 分 组 传输 过 程 
C. 无 状态 分 组 过 滤器 只 能 检测 IP 首部 字段 
D. 两 个 方向 上 设置 的 无 状态 分 组 过 滤器 独立 控制 对 应 方向 上 的 IP 分 组 传输 
过 程 
答案 : C 
【分 析 】 无 状态 分 组 过 滤器 不 但 检测 IP 首部 字段 ,还 检测 传输 层 首部 字段 。 
(6) 关于 无 状态 分 组 过 滤器 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ”) 
A. 能 够 控制 两 个 不 同 网 络 之 间 的 数据 传输 过 程 
B. 能 够 控制 两 个 终端 之 间 的 数据 传输 过 程 
C. 能 够 控制 两 个 进程 之 间 的 数据 传输 过 程 
D. 能 够 控制 一 次 完整 应 用 所 涉及 的 数据 交换 过 程 
答案 : D 
【分 析 】 这 是 有 状态 分 组 过 滤器 才 具 有 的 功能 。 
(7) 关于 规则 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 过 滤器 可 以 由 多 项 规则 组 成 
B. 根据 规则 顺序 逐 项 匹配 
C. 只 有 和 当前 规则 不 匹配 时 , 才 和 后 续 规 则 进行 匹配 操作 
D. 匹配 结果 与 过 滤器 中 的 规则 顺序 无 关 
答案 : D 
【分 析 】 由 于 IP 分 组 只 有 和 当前 规则 不 匹配 时 , 才 继 续 和 后 续 规 则 进行 匹配 操作 ， 
一 旦 和 某 个 规则 匹配 , 则 对 其 进行 规则 指定 的 操作 ,不 再 和 其 他 规则 进行 匹配 操作 。 由 于 
过 滤器 中 的 规则 顺序 决定 IP 分 组 匹配 规则 的 顺序 ,因此 ,匹配 结果 与 过 滤器 中 的 规则 顺 
序 有 关 。 
(8) 关于 过 滤器 和 接口 输入 /输出 方向 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 过 滤器 可 以 作用 于 接口 的 输入 方向 或 输出 方向 
B. 从 接口 输入 的 全 分 组 匹配 作用 于 输入 方向 的 过 滤器 
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C. 从 接口 输出 的 卫 分 组 匹配 作用 于 输出 方向 的 过 滤器 
D. 同一 过 滤器 不 能 同时 作用 于 接口 的 输入 和 输出 方向 
答案 : D 
【分 析 】 同一 过 滤器 可 以 同时 作用 于 接口 的 输入 和 输出 方向 。 
(9) 关于 无 状态 分 组 过 滤器 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 阻止 两 个 终端 之 间 的 通信 过 程 B. 阻止 两 个 进程 之 间 的 通信 过 程 
C. 阻止 两 个 用 户 之 间 的 通信 过 程 D. 阻止 两 个 网 络 之 间 的 通信 过 程 
答案 : C 
【分 析 】 可 以 通过 源 和 目的 IP 地 址 属性 指定 两 个 终端 或 两 个 网 络 ,可 以 通过 源 和 目 
的 端口 号 属性 指定 两 个 进程 ,但 无 法 指定 两 个 用 户 。 
(10) 关于 有 状态 分 组 过 滤器 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 基于 会 话 控制 通信 过 程 
B. 属于 同一 会 话 的 IP 分 组 之 间 存 在 关联 
C. 对 IP 分 组 的 操作 与 会 话 的 状态 有 关 
D. 存在 显 式 的 会 话 建立 和 删除 过 程 
答案 : D 
【分 析 】 类 似 UDP 会 话 和 ICMP ECHO 请 求 和 响应 过 程 不 存在 显 式 的 会 话 建立 和 
删除 过 程 。 
(11) 关于 有 状态 分 组 过 滤器 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 创建 会 话 时 匹配 过 滤 规则 
B. 允许 属于 指定 会 话 的 TCP 报 文 传输 
C. TCP 连接 是 一 次 会 话 过 程 
D. 配置 有 状态 分 组 过 滤器 时 静态 创建 对 应 会 话 
答案 : D 
【分 析 】 会 话 是 动态 创建 的 , 当 扩 展 分 组 过 滤器 允许 某 个 IP 分 组 正常 转发 且 该 IP 
分 组 的 净 荷 是 监测 机 制 指定 的 应 用 层 或 传输 层 协议 的 协议 数据 单元 时 ,创建 会 话 。 
(12) 关于 有 状态 分 组 过 滤器 ,以 下 哪 一 项 描述 是 正确 的 ? (  ) 
A. 需要 分 别 作用 于 接口 输入 和 输出 方向 的 两 个 独立 过 滤器 
B. 接口 允许 输入 和 输出 的 IP 分 组 是 相互 独立 的 
C. 对 输入 和 输出 IP 分 组 实施 操作 的 唯一 依据 是 输入 /输出 方向 作用 的 分 组 过 
滤器 
D. 用 分 组 过 滤器 控制 会 话 建立 过 程 , 基 于 会 话 状态 对 属于 该 会 话 的 IP 分 组 实 
施 操作 
答案 : D 
【分 析 】 对 于 有 状态 分 组 过 滤器 ,作用 于 接口 的 分 组 过 滤器 只 适用 于 控制 会 话 建立 
过 程 ,建立 会 话 后 ,基于 会 话 状态 对 属于 该 会 话 的 IP 分 组 实施 操作 。 这 是 有 状态 分 组 过 
滤器 区 别 于 无 状态 分 组 过 滤器 的 地 方 。 
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(13) 关于 有 状态 分 组 过 滤器 的 会 话 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 一 个 TCP 连接 
B. 两 个 进程 之 间 的 UDP 报 文 传输 过 程 
C. 一 次 ICMP ECHO 请 求 和 响应 过 程 
D. 访问 网 站 过 程 
答案 : D 
【分 析 】 访问 网 站 可 能 涉及 多 个 会 话 , 如 域名 解析 过 程 就 有 可 能 涉及 多 次 UDP 报 
文 交 换 过 程 。 
(14) 关于 有 状态 分 组 过 滤器 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 有 状态 分 组 过 滤器 用 于 控制 基于 特定 应 用 的 数据 交换 过 程 
B. 有 状态 分 组 过 滤器 同时 控制 两 个 方向 上 的 IP 分 组 传输 过 程 
C. 有 状态 分 组 过 滤器 两 个 方向 上 的 IP 分 组 传输 控制 机 制 存在 相互 制约 
D. 有 状态 分 组 过 滤器 能 控制 两 个 特定 用 户 之 间 的 数据 交换 过 程 
答案 : D 
【分 析 】 有 状态 分 组 过 滤器 不 具有 身份 鉴别 功能 ,无 法 确定 数据 的 发 送 和 接收 用 户 。 
(15) 关于 应 用 层 有 状态 分 组 过 滤器 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 用 分 组 过 滤器 控制 会 话 建立 过 程 
B. 基于 会 话 状态 和 应 用 层 协议 规范 对 属于 该 会 话 的 IP 分 组 实施 操作 
C. 检测 应 用 层 请 求 消息 与 响应 消息 之 间 的 关联 性 
D. 会 话 可 以 是 多 个 TCP 连接 
答案 : D 
【分 析 】 对 于 应 用 层 有 状态 分 组 过 滤器 ,会 话 还 是 一 个 TCP 连接 ,或 是 两 个 进程 之 
间 的 UDP 报 文 传输 过 程 ,只 是 增加 了 基于 特定 应 用 层 的 协议 规范 ,对 TCP 报 文 或 UDP 
报 文中 的 净 荷 进行 深度 检测 的 功能 。 
(16) 有 状态 分 组 过 滤器 基于 会 话 或 服务 实施 控制 ,以 下 哪 一 项 对 会 话 或 服务 的 描述 
是 错误 的 ? ( 。 ) 
. 会话 是 包括 建立 ,通信 和 释放 的 一 次 完整 TCP 连接 
. 会 话 是 有 限时 间 内 两 个 UDP 进程 之 间 的 数据 传输 过 程 
.HTTP 服务 是 一 次 完整 的 Web 服务 器 访问 过 程 
. 邮件 服务 是 一 次 发 送 和 接收 邮件 的 过 程 
答案 : D 
【分 析 】 发 送 邮 件 和 接收 邮件 是 两 个 独立 的 服务 。 
(17) 以 下 哪 一 项 是 有 状态 分 组 过 滤器 和 无 状态 分 组 过 滤器 之 间 的 主要 区 别 ? (。 ) 
A. 对 分 组 实施 的 操作 有 丢弃 和 正常 转发 
B. 每 一 个 分 组 独立 地 根据 与 过 滤 规 则 的 匹配 结果 确定 对 其 施加 的 操作 
C. 位 于 网 络 间 数 据 传输 通路 上 
D. 根据 安全 策略 控制 网 络 间 的 数据 交换 过 程 
答案 : B 


= 
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【分 析 】 这 是 无 状态 分 组 过 滤器 有 别 于 有 状态 分 组 过 滤器 的 特性 。 
(18) 关于 基于 分 区 防火 墙 , 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 控制 区 间 通 信 过 程 
B. 用 服务 定义 信息 交换 过 程 
C. 可 以 定义 服务 发 起 端 范围 和 服务 响应 端 范 围 
D. 服务 定义 的 信息 交换 过 程 只 涉及 应 用 层 消 息 的 传输 过 程 
答案 : D 
【分 析 】 服务 定义 的 信息 交换 过 程 包括 用 于 传输 应 用 层 消息 的 会 话 的 建立 和 删除 过 
程 ,如 FTP 服务 ,涉及 TCP 控制 连接 和 TCP 数据 连接 的 建立 和 删除 过 程 。 
(19) 关于 电路 层 代理 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 用 于 解决 无 法 建立 TCP 连接 或 UDP 会 话 的 源 主机 和 目的 主机 之 间 的 通 
信 过 程 
B. 可 以 对 源 主机 用 户 实施 身份 鉴别 
C. 建立 源 主机 用 户 和 源 主机 与 电路 层 网 关 之 间 的 TCP 连接 或 UDP 会 话 之 间 
的 绑 定 
D. 电路 层 网 关 通 过 PAT 实现 源 主机 和 目的 主机 之 间 的 通信 过 程 
答案 : D 
【分 析 】 电路 层 网 关 通 过 建立 源 主机 与 电路 层 网 关 之 间 的 TCP 连接 或 UDP 会 话 和 
电路 层 网 关 与 目的 主机 之 间 的 TCP 连接 或 UDP 会 话 之 间 的 映射 实现 源 主机 和 目的 主机 
之 间 的 通信 过 程 。 
(20) 关于 电路 层 代理 ,以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. 建立 源 主机 与 电路 层 网 关 之 间 的 TCP 连接 或 UDP 会 话 
B. 建立 电路 层 网 关 与 目的 主机 之 间 的 TCP 连接 或 UDP 会 话 
C. 建立 上 述 两 个 TCP 连接 或 UDP 会 话 之 间 的 映射 
D. 根据 映射 完成 TCP 或 UDP 报 文 之 间 的 相互 转换 
答案 : D 
【分 析 】 电路 层 代理 将 通过 源 主机 与 电路 层 代理 之 间 的 TCP 连接 或 UDP 会 话 接收 
到 的 源 主机 发 送 的 数据 复制 到 电路 层 代理 与 目的 主机 之 间 的 TCP 连接 或 UDP 会 话 , 或 
者 反之 ,将 通过 电路 层 代理 与 目的 主机 之 间 的 TCP 连接 或 UDP 会 话 接收 到 的 目的 主机 
发 送 的 数据 复制 到 源 主机 与 电路 层 代理 之 间 的 TCP 连接 或 UDP 会 话 。 以 此 实现 源 主机 
和 目的 主机 之 间 的 通信 过 程 。 
(21) 关于 电路 层 网 关 安 全 功能 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 


A. 数据 中 继 B. 用 户 身份 鉴别 
C. 传输 层 检 测 D. 地 址 转换 
答案 : D 


【分 析 】 电路 层 网 关 不 是 通过 地 址 转换 完成 数据 中 继 过 程 的 。 
(22) 关于 应 用 层 网 关 , 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 针对 特定 应 用 层 协议 
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B. 防御 针对 特定 应 用 的 攻击 行为 
C. 工作 在 透明 模式 或 代理 模式 
D. 是 一 个 集成 在 应 用 服务 器 中 的 软件 模块 
答案 : D 
【分 析 】 目前 大 量 的 应 用 层 网 关 是 一 个 独立 的 设备 ,可 以 同时 保护 多 台 提供 特定 网 
络 服务 的 应 用 服务 器 。 
(23) 关于 WAF, 以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 检测 HTTP 消息 各 个 字段 值 
B. 对 HTTP 消息 进行 攻击 特征 匹配 
C. 应 用 规律 统计 分 析 
D. 用 户 身 份 鉴别 
答案 : D 
【分 析 】 WAF 一 般 不 负责 用 户 授权 ,因此 ,WAF 不 会 进行 用 户 身份 鉴别 。 
(24) 下 列 选项 中 , 哪 一 项 不 属于 防火 墙 体系 结构 ?( ) 


A. 双重 宿主 主机 体系 结构 B. 被 屏蔽 主机 体系 结构 
C. 被 屏蔽 子 网 体系 结构 D. 被 屏蔽 中 间 网 络 体系 结构 
答案 : D 
【分 析 】 防火 墙 体系 结构 分 为 双重 宿主 主机 体系 结构 .被 屏蔽 主机 体系 结构 和 被 屏 
项 子 网 体系 结构 。 
11.3 名 词 解释 
(1) 防火 墙 
一 种 位 于 网 络 或 者 用 户 终端 与 网 络 之 间 , 对 网 络 或 者 网 络 与 用 户 终端 之 间 传输 的 信 
息 流 实施 控制 的 设备 。 
(2) 个 人 防火 墙 
安装 在 主机 中 的 软件 防火 墙 ,用 于 对 用 户 终端 与 网 络 之 间 传 输 的 信息 流 实施 控 制 。 
(3) 网 络 防火 墙 


位 于 两 个 网 络 之 间 ,用 于 对 网 络 之 间 传 输 的 信息 流 实施 控制 的 装置 ,这 个 装置 可 以 是 
独立 的 设备 ,也 可 以 集成 在 路 由 器 中 。 

(4) 无 状态 分 组 过 滤器 

能 够 从 一 个 网 络 进入 另 一 个 网 络 的 全 部 IP 分 组 中 筛选 出 符合 用 户 指 定 特征 的 一 部 
分 耳 分 组 ,并 对 这 一 部 分 IP 分 组 的 网 络 间 传 输 过 程 实施 控制 。 当 实施 筛选 和 控制 操作 
时 ,每 一 个 卫 分 组 都 是 独立 的 ,不 考虑 IP 分 组 之 间 的 关联 性 。 

(5) 有 状态 分 组 过 滤器 

能 够 鉴别 出 属于 同一 会 话 的 IP 分 组 ,然后 根据 会 话 的 属性 与 状态 对 属于 该 会 话 的 
JP 分 组 的 网 络 间 传 输 过 程 进 行 控制 。 


第 人 1 章 ”防火墙 \@®/ 
(6) 电路 层 代理 


一 个 在 源 和 目的 主机 之 间 无 法 直接 建立 TCP 连接 或 UDP 会 话 的 情况 下 ,用 于 实现 
源 主机 和 目的 主机 之 间 的 通信 过 程 的 中 继 设备 。 

(7) 应 用 层 网 关 

一 种 能 够 对 每 一 种 网 络 服务 ,提供 用 于 防御 针对 该 网 络 服务 的 攻击 行为 的 设备 。 

(8) 堡垒 主机 

一 种 被 强化 的 、 可 以 防御 进攻 的 计算 机 ,安装 软件 防火 墙 后 ,也 可 作为 防火 墙 使 用 。 
根据 安装 的 软件 防火 墙 功能 的 不 同 ,可 以 作为 分 组 过 滤器 ,电路 层 代理 和 应 用 层 网 关 。 
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【例题 12. 1】 简 述 产生 入 侵 检测 系统 的 原因 。 

【解析 】 一 种 新 技术 的 产生 ,通常 基于 以 下 两 个 原因 : 一 是 磁 到 已 有 技术 无 法 解决 
的 问题 ;二 是 找到 解决 这 些 问题 的 新 方法 。 产 生 和 人 侵 检 测 系统 的 原因 有 以 下 四 个 : 一 是 
攻击 信息 无 处 不 在 ,仅仅 通过 防火 墙 对 网 络 间 数 据 交换 过 程 实施 控制 已 无 法 阻止 攻击 信 
息 扩 散 ;二 是 攻击 行为 与 正常 访问 过 程 之 间 存 在 差异 ,这 种 差异 可 以 通过 建立 攻击 特征 库 
和 描述 正常 访问 过 程 的 行为 模式 检测 出 来 ;三 是 可 以 通过 建立 资源 访问 控制 列表 ,实施 主 
机 资源 的 授权 访问 ,同时 也 可 以 通过 资源 访问 控制 列表 检测 出 非法 资源 访问 操作 ;四 是 交 
换 机 和 路 由 器 等 网 络 设备 既 容易 实现 信息 收集 ,又 容易 阻 断 攻击 信息 的 传输 过 程 。 上 述 
原因 导致 产生 一 种 与 交换 机 和 路 由 器 集成 在 一 起 或 运行 于 主机 系统 ,通过 在 网 络 关 键 节 
点 或 关键 链 路 收集 信息 和 分 析 信 息 ,检测 出 非法 访问 操作 、 违 反 安 全 策略 和 入 侵 的 行为 ， 
并 对 这 些 行为 予以 反 制 的 设备 。 

【例题 12.2】 简 述 网 络 和 人 侵 检 测 系统 和 防火 墙 的 区 别 。 

【解析 】 一 是 检测 的 信息 不 同 。 防 火 墙 只 检测 网 络 间 传 输 的 信息 ,入 侵 检测 系统 能 
够 检测 流 经 任何 网 段 的 信息 。 二 是 检测 机 制 不 同 。 防 火 墙根 据 配置 的 访问 控制 策略 确定 
信息 是 否 违反 安全 策略 ,并 丢弃 违反 安全 策略 的 信息 。 入 侵 检测 系统 根据 建立 的 攻击 特 
征 库 和 描述 正常 访问 过 程 的 行为 模式 确定 是 否 是 攻击 信息 ,并 对 攻击 信息 予以 反 制 。 三 
是 作用 不 同 。 防 火 墙 的 作用 是 通过 静态 配置 访问 控制 策略 限制 网 络 间 允 许 交换 的 信息 流 
类 型 。 入 侵 检 测 系统 通过 分 析 已 经 发 现 的 入 侵 行为 ,如 蠕虫 传播 过 程 .木马 窃取 信息 资源 
过 程 和 黑客 利用 操作 系统 漏洞 实施 的 攻击 过 程 ,提取 出 攻击 特征 ,通过 对 这 些 攻击 特征 的 
匹配 操作 ,可 以 检测 出 正在 进行 的 攻击 行为 ,并 予以 反 制 , 因 此 ,入 侵 检测 系统 的 主要 作用 
是 阻止 已 知 和 未 知 的 攻击 行为 继续 。 四 是 入 侵 检测 系统 可 以 通过 在 多 个 关键 节点 和 关键 
链 路 收集 信息 ,并 对 这 些 信息 的 检测 结果 进行 综合 分 析 发 现 分 布 式 拒绝 服务 攻击 ,以 及 其 
他 对 网 络 的 侦察 行为 。 防 火 墙 不 具有 这 一 功能 。 

【例题 12. 3】 简 述 主机 入 侵 检测 系统 和 网 络 入 侵 检测 系统 的 区 别 。 

【解析 】 一 是 收集 的 信息 不 同 。 主 机 入 侵 检 测 系统 只 收集 进出 主机 的 信息 。 网 络 人 
侵 检测 系统 收集 流 经 任何 网 段 的 信息 。 二 是 作用 不 同 。 主 机 入 侵 检 测 系统 主要 用 于 阻止 
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对 主机 资源 的 非法 操作 。 网 络 入 侵 检 测 系 统 能 够 阻止 已 知 和 未 知 的 攻击 行为 继续 ,这 些 
攻击 行为 包括 蠕虫 传播 过 程 木 马 窃取 信息 资源 过 程 和 黑客 利用 操作 系统 漏洞 实施 的 攻 
击 过 程 等 。 三 是 保护 对 象 不 同 。 网 络 人 侵 检测 系统 保护 网 段 后面 的 多 台 主 机 、 多 段 网 段 ， 
甚至 一 个 网 络 。 主 机 入 侵 检测 系统 只 保护 单个 主机 系统 。 四 是 主机 入 侵 检测 系统 能 够 截 
获 有 关 用 户 .进程 ,访问 对 象 .访问 方式 等 信息 ,可 以 利用 这 些 信息 实施 精确 监控 。 网 络 人 
侵 检测 系统 收集 的 与 资源 访问 操作 有 关 的 信息 没有 主机 入 侵 检测 系统 详细 。 五 是 主机 入 
侵 检测 系统 可 以 通过 配置 资源 访问 控制 列表 实施 授权 访问 ,网 络 人 侵 检测 系统 不 具有 这 
一 功能 。 

【例题 12. 4】 简 述 网 络 入 侵 检测 系统 的 实现 机 制 。 

【解析 】 一 是 收集 信息 。 可 以 通过 在 线 方式 收集 流 经 该 链 路 的 信息 ,也 可 以 在 杂凑 
方式 下 ,通过 和 交换 机 或 路 由 器 等 网 络 设备 配合 ,收集 经 过 这 些 网 络 设备 转发 的 信息 。 二 
是 需要 建立 攻击 特征 库 , 或 是 描述 正常 访问 过 程 的 行为 模式 。 三 是 需要 设计 用 于 将 收集 
的 信息 与 建立 的 攻击 特征 库 和 描述 正常 访问 过 程 的 行为 模式 进行 比较 的 匹配 操作 算法 。 
四 是 需要 设计 针对 攻击 信息 的 反 制 动作 。 五 是 需要 对 已 经 发 现 的 病毒 传播 过 程 , 木 马 窃 
取信 息 资源 过 程 和 黑客 利用 操作 系统 漏洞 实施 的 攻击 过 程 进行 分 析 , 提 取出 攻击 特征 ,及 
时 添加 到 攻击 特征 库 中 。 六 是 需要 不 断 调整 描述 正常 访问 过 程 的 行为 模式 ,在 误 报 和 漏 
报 间 取得 平衡 。 

【例题 12. 5】 简 述 入 侵 检 测 系统 防御 黑客 攻击 的 机 制 。 

【解析 】 一 是 通过 分 析 黑客 攻击 的 一 般 步 骤 , 给 出 用 于 描述 黑客 攻击 过 程 的 行为 模 
式 (黑客 行为 模式 )。 二 是 对 常见 的 黑客 攻击 方式 ,如 缓冲 区 溢出 攻击 ,口令 穷 举 攻击 等 ， 
提取 出 有 状态 攻击 特征 ,作为 黑客 攻击 特征 库 中 的 基本 攻击 特征 。 三 是 不 断 分 析 已 经 发 
现 的 黑客 攻击 行为 ,提取 出 攻击 特征 ,及 时 添加 到 黑客 攻击 特征 库 中 。 四 是 针对 常用 操作 
系统 和 应 用 程序 新 发 现 的 漏洞 ,设计 黑客 可 能 的 攻击 行为 ,在 黑客 攻击 特征 库 中 增加 用 于 
描述 这 些 攻击 行为 的 攻击 特征 。 五 是 在 通 往 重要 服务 器 的 链 路 上 设置 携带 黑客 行为 模式 
和 黑客 攻击 特征 库 的 网 络 入 侵 检测 系统 。 在 重要 服务 器 上 设置 携带 用 于 检测 进出 主机 信 
息 的 攻击 特征 库 的 主机 入 侵 检测 系统 ,针对 已 发 现 的 主机 所 用 操作 系统 和 应 用 程序 漏洞 ， 
对 主机 入 侵 检测 系统 设置 防止 黑客 利用 漏洞 上 传 并 激活 蠕虫 自 改 和 删除 重要 系统 文件 
的 资源 访问 控制 列表 。 
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【例题 12.6】 互连网 结构 如 图 12. 1 所 示 , 倪 偶 终端 是 已 经 被 黑客 控制 的 终端 ,黑客 
可 以 通过 佛 介 终端 发 起 分 布 式 拒绝 服务 攻击 。 为 了 检测 分 布 式 拒绝 服务 攻击 ,需要 在 互 
连 网 中 设置 网 络 入 侵 检测 系统 ,给 出 设置 网 络 入 侵 检测 系统 的 位 置 , 并 简 述 网 络 信 侵 检 测 
系统 防御 分 布 式 拒绝 服务 攻击 的 原理 。 

【解析 】 

(1) 设置 网 络 人 侵 检测 系统 的 位 置 如 图 12. 2 所 示 , 在 这 个 位 置 设置 网 络 人 侵 检测 系 
统 的 目的 是 检测 佛 偶 主机 对 网 络 4 和 网 络 5 发 起 的 攻击 。 

(2) 为 了 应 对 倪 偶 主机 实施 的 直接 攻击 ,网 络 人 侵 检测 系统 需要 设置 目的 IP 地 址 相 














图 12.1 互连网 结构 


全 候 机 。 俐 介 机 





























图 12.2 网 络 入 侵 检测 系统 设置 位 置 


同 \ 净 荷 是 UDP 报 文 或 ICMP ECHO 请 求 报 文 的 IP 分 组 阔 值 ,一 旦 单位 时 间 内 接收 到 
的 目的 IP 地 址 相同 . 净 荷 是 UDP 报 文 或 ICMP ECHO 请 求 报 文 的 IP 分 组 数量 超过 阔 
值 , 则 丢弃 超过 阔 值 部 分 的 IP 分 组 。 

(3) 为 了 应 对 倪 偶 主机 实施 的 间接 攻击 ,网 络 人 侵 检测 系统 需要 设置 以 下 两 个 阔 值 ; 
一 是 源 IP 地 址 相同 , 净 荷 是 ICMP ECHO 请 求 报 文 的 IP 分 组 阔 值 ;二 是 目的 IP 地 址 相 
同 , 净 荷 是 ICMP ECHO 响应 报 文 的 IP 分 组 阔 值 。 一 旦 单位 时 间 内 接收 到 的 源 IP 地 址 
相同 . 净 荷 是 ICMP ECHO 请 求 报 文 的 IP 分 组 数量 和 目的 IP 地 址 相同 、 净 荷 是 ICMP 
ECHO 响应 报 文 的 IP 分 组 数量 超过 阔 值 , 则 丢弃 超过 靖 值 部 分 的 IP 分 组 。 

【例题 12.7】 假定 网 络 结构 如 图 12. 3 所 示 ,要 求 ; 

(1) 能 够 检测 感染 蠕虫 病毒 的 终端 通过 发 送 大量 邮 件 传播 病毒 的 过 程 ; 

(2) 能 够 检测 对 服务 器 发 起 的 猜测 登录 口令 攻击 ; 
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Web 服 务 器 
192.2.7.6 


FTP 服 务 器 
1922.7.7 








图 12.3 网 络 结构 


(3) 能 够 检测 黑客 终端 利用 服务 器 木马 病毒 控制 服务 器 的 操作 过 程 。 

给 出 入侵 检测 系统 的 设置 和 配置 信息 ,并 简 述 实现 上 述 要 求 的 机 制 。 

【解析 】 

(1) 网 络 入 侵 检测 系统 设置 位 置 如 图 12. 4 所 示 。 这 样 设置 网 络 人 侵 检测 系统 的 目 
的 有 两 个 : 一 是 可 以 检测 所 有 终端 与 服务 器 之 间 传 输 的 信息 ;二 是 可 以 检测 所 有 位 于 不 
同 网 络 的 终端 之 间 传输 的 信息 。 


Web 服 务 器 
192.2.7.6 


FTP 服 务 器 
1922.7.7 
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二 层 交换 机 
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图 12.4 网 络 入 侵 检测 系统 设置 位 置 





(2) 网 络 入 侵 检测 系统 配置 的 安全 策略 如 表 12. 1 所 示 , 对 服务 器 发 起 的 猜测 登录 口 
令 攻击 过 程 和 利用 服务 器 木马 病毒 控制 服务 器 的 操作 过 程 所 涉及 的 信息 传输 过 程 符合 交 
换 式 信息 特征 。 感 染 蠕虫 病毒 的 终端 发 送 大 量 用 于 传播 病毒 的 邮件 的 过 程 所 涉及 的 信息 
传输 过 程 符合 邮件 病毒 特征 。 











表 12.1 安全 策略 
规则 编号 | 源 耳 地址 | 目的 耳 地 址 检测 机 制 攻击 类 型 动作 
| 和 192. 2.7. 6/32 异常 检测 交互 式 信息 源 全 阻塞 
2 x 192. 2.7.7/32 异常 检测 交互 式 信息 源 全 阻塞 
2 x * 异常 检测 邮件 病毒 源 全 阻塞 
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(3) 判断 交换 式 信息 的 规则 

名 相 邻 TCP 报 文 的 最 小 间隔 大 于 500ms。 

@ 相 邻 TCP 报 文 的 最 大 间隔 小 于 30s。 

@ 背靠背 TCP 报 文 的 比例 大 于 50%。 

@ TCP 小 报 文 (TCP 报 文 包含 的 字 节 数 大 于 20B 且 小 于 100B) 的 比例 大 于 80% 。 

(4) 判断 邮件 病毒 的 规则 

@ 终端 的 平均 传输 速率 大 于 6Mb/s。 

@ 超过 100ms 连续 成 组 传输 IP 分 组 (成 组 传输 是 指 相 邻 IP 分 组 的 时 间 间 隔 小 于 
5ps 的 情况 ) 的 概率 大 于 7%。 

@ 电子 邮件 在 所 有 发 送 的 信息 中 所 占 的 比例 大 于 20%。 

【例题 12. 8】 如 果 图 12. 3 中 的 FTP 服务 器 中 的 内 容 极其 敏感 ,需要 严格 限制 授权 
终端 下 载 FTP 服务 器 中 文件 的 操作 , 绝 不 允许 删除 或 修改 FTP 服务 器 中 的 文件 ,如 何 通 
过 设置 和 配置 人 侵 检测 系统 做 到 这 一 点 ? 

【解析 】 

(1) 网 络 人 侵 检 测 系统 设置 位 置 如 图 12. 5 所 示 。 这 样 设置 网 络 信 侵 检测 系统 的 目 
的 是 使 网 络 入 侵 检测 系统 只 用 于 检测 对 FTP 服务 器 实施 的 攻击 。 


Web 服 务 器 
192.2.7.6 








-> a FTP 服 务 器 
提 应 2 J 192.2.7.7 


图 12.5 网 络 入 侵 检测 系统 设置 位 置 


(2) 网 络 入 侵 检 测 系统 配置 的 安全 策略 如 表 12. 2 所 示 , 源 IP 地 址 范围 严格 限制 了 
授权 终端 范围 。 服 务 FTP GET 只 允许 与 下 载 文件 的 操作 过 程 有 关 的 信息 交换 过 程 正常 














进行 。 加 载 已 经 发 现 的 与 攻击 FTP 服务 器 有 关 的 所 有 攻击 特征 。 
表 12.2 安全 策略 
规则 编号 | 源 卫 地 址 目的 IP 地 址 服务 攻击 特征 库 动作 
FTP 一 严重 源 I 卫 阻塞 
是 192.1.1.1/32 | 192.2.7.7/32 | FTP GET FTP 一 中 等 源 全 阻塞 
FTP 一 轻 度 源 全 阻塞 
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12.2 选择 题 分 析 


(1) 关于 入 侵 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 


A. 破坏 信息 可 用 性 的 行为 B. 破坏 信息 完整 性 的 行为 
C. 破坏 信息 保密 性 的 行为 D. 非法 冯 入 
答案 : D 


【分 析 】 网 络 安全 范畴 中 的 入侵 主要 是 指 破 坏 网 络 中 信息 的 可 用 性 ,完整 性 和 保密 
性 的 行为 ,而 不 是 指 冯 入 没有 授权 进入 的 领地 的 行为 。 
(2) 关于 入 侵 手段 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 恶意 代码 B. 非法 访问 
C. 拒绝 服务 攻击 D. 黑客 
答案 : D 
【分 析 】 黑客 是 入 侵 者 的 称呼 ,不 是 入 侵 手段 。 
(3) 以 下 哪 一 项 不 是 产生 入 侵 检测 系统 的 原因 ? ( ) 
A. 与 攻击 有 关 的 信息 流 无 处 不 在 
B. 攻击 行为 与 正常 访问 过 程 存在 差别 
C. 杀毒 软件 不 具有 发 现 非法 资源 访问 操作 的 功能 
D. 控制 网 络 间 数 据 交换 过 程 
答案 : D 
【分 析 】 这 是 防火 墙 已 经 实现 的 功能 。 
(4) 关于 入 侵 检测 系统 ,以 下 哪 一 项 描述 是 错误 的 ? 
A. 一 般 的 入 侵 检测 系统 和 杀毒 软件 一 样 , 需 要 定时 更 新 攻击 特征 库 
B. 正常 访问 过 程 和 入 侵 过 程 存在 差异 ,但 无 法 严格 区 分 
C. 规则 是 长 期 观察 信息 流 变 化 过 程 后 得 出 的 一 些 规律 性 的 总 结 
D. 入 侵 检测 系统 能 够 检测 出 没有 发 作 的 病毒 
答案 : D 
【分 析 】 入 侵 检 测 系统 主要 检测 发 生 在 主机 和 网 络 中 的 异常 行为 ,病毒 不 发 作 时 ， 
不 发 生 异 常 行为 。 
(5) 以 下 哪 一 项 关于 入 侵 检测 系统 功能 的 描述 是 错误 的 ? ( ”) 
A. 防御 病毒 发 作 引发 的 攻击 行为 B. 防御 对 资源 的 非法 访问 
C. 防御 分 布 式 拒绝 服务 攻击 D. 防御 信息 嗅 探 和 截获 攻击 
答案 : D 
【分 析 】 这 不 是 入 侵 检 测 系统 能 够 防御 的 ,需要 通过 精心 设计 网 络 拓扑 结构 和 增强 
网 络 转发 设备 (路 由 器 和 交换 机 ) 的 安全 功能 实现 防御 。 
(6) 以 下 哪 一 项 是 入 侵 检测 系统 能 够 防御 的 攻击 行为 ?( 。 ) 
A. 路 由 项 欺骗 攻击 B. 重 放 攻 击 
C. DNS 欺骗 攻击 D. 源 全 地 址 欺骗 攻击 
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答案 : D 

【分 析 】 有 些 源 IP 地 址 欺骗 攻击 采用 固定 格式 的 源 IP 地址 ,攻击 特征 检测 机 制 能 
够 检测 出 此 类 源 IP 地 址 欺骗 攻击 。 

(7) 关于 入 侵 检测 系统 功能 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 


A. 捕获 流 经 关键 链 路 的 信息 流 B. 发 现 攻击 行为 
C. 反 制 攻击 行为 D. 预防 攻击 行为 
答案 : D 
【分 析 】 入 侵 检测 系统 的 基本 功能 是 检测 出 正在 实施 的 攻击 行为 ,并 予以 反 制 , 并 不 
能 预先 阻止 攻击 行为 的 发 生 。 
(8) 以 下 哪 一 项 不 是 入 侵 检测 系统 通用 框架 中 的 构件 ? ( 。 ) 
A. 事件 发 生 器 B. 事件 分 析 器 
C. 事件 数据 库 D. 事件 捕获 器 
答案 : D 
【分 析 】 入 侵 检 测 系 统 通用 框架 中 没有 事情 捕获 器 ,事情 发 生 器 的 作用 是 提供 需要 
检测 的 信息 。 


(9) 关于 在 线 方式 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 流 经 关键 链 路 的 信息 必须 经 过 入 侵 检 测 系 统 
B. 实时 阻 断 和 人 侵 信息 的 传输 过 程 
C. 要 求 较 强 的 处 理 能 力 
D. 有 着 多 种 捕获 信息 的 方式 
答案 : D 
【分 析 】 在 线 方式 下 , 流 经 关键 链 路 的 信息 必须 经 过 入 侵 检测 系统 ,因此 ,不 存在 捕 
获 信息 的 问题 。 
(10) 关于 杂凑 方式 ,以 下 哪 一 项 描述 是 错误 的 ? 〈 ) 
A. 不 影响 信息 流 在 关键 链 路 的 传输 过 程 
B. 无 法 实时 阻 断 入 侵 信息 的 传输 过 程 
C. 有 着 多 种 捕获 信息 的 方式 
D. 要 求 较 强 的 处 理 能 力 
答案 : D 
【分 析 】 杂凑 方式 对 实时 性 要 求 不 高 ,因此 ,对 处 理 能 力 的 要 求 低 于 在 线 方式 。 
(11) 关于 主机 入 侵 检测 系统 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 利用 攻击 特征 库 发 现 攻击 行为 
B. 根据 访问 授权 发 现 非法 资源 访问 过 程 
C. 禁止 非法 TCP 连接 建立 
D. 保证 主机 不 感染 病毒 





答案 : D 
【分 析 】 检测 某 个 文件 是 否 包含 病毒 不 是 入 侵 检测 系统 的 主要 功能 ,入 侵 检 测 系统 
主要 检测 病毒 发 作 时 发 生 的 异常 行为 。 
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(12) 关于 主机 入 侵 检测 系统 的 功能 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 





A. 有 效 抵御 恶意 代码 攻击 B. 有 效 管制 主机 信息 传输 过 程 
C. 强化 对 主机 资源 的 保护 D. 有 效 抵御 拒绝 服务 攻击 
答案 : D 


【分 析 】 对 于 通过 耗 尽 主机 连接 网 络 的 链 路 的 带宽 ,使 主机 无 法 和 其 他 主机 通信 的 
拒绝 服务 攻击 ,主机 入 侵 检测 系统 是 无 能 为 力 的 。 
(13) 关于 异常 信息 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 包含 恶意 代码 的 信息 
B. 信息 内 容 和 指定 应 用 不 符 的 信息 
C. 包含 攻击 特征 的 信息 
D. 分 组 过 滤器 丢弃 的 信息 
答案 : D 
【分 析 】 分 组 过 滤器 用 于 控制 网 络 间 通 信 过 程 ,被 分 组 过 滤器 丢弃 的 信息 只 是 访问 
控制 策略 不 允许 正常 传输 的 信息 ,未必 是 异常 信息 。 
(14) 以 下 哪 一 项 是 入 侵 检测 系统 和 防火 墙 相同 的 功能 ? (。 ) 
A. 利用 攻击 特征 库 发 现 攻击 行为 B. 作用 于 流 经 任何 网 段 的 信息 
C. 阻 断 正常 信息 传输 过 程 D. 阻 断 非法 信息 传输 过 程 
答案 : D 
【分 析 】 防火 墙 阻 断 访问 控制 策略 不 允许 传输 的 信息 ,入 侵 检测 系统 阻 断 违反 安全 
策略 或 实施 攻击 的 信息 。 
(15) 以 下 哪 一 项 不 是 网 络 入 侵 检测 系统 的 反 制 动 作 ? ( ” ) 


A. 丢弃 IP 分 组 B. 释放 TCP 连接 
C. 报警 和 登记 D. 隔离 攻击 源 
答案 : D 


【分 析 】 在 分 布 式 拒绝 服务 攻击 (DDoS) 方 式 下 ,确定 攻击 源 是 一 件 非 常 困难 的 事 
情 , 因 此 ,在 检测 到 网 络 中 存在 攻击 行为 的 情况 下 ,网 络 入 侵 检 测 系统 也 很 难 确定 并 隔离 
攻击 源 。 

(16) 以 下 哪 一 项 不 是 主机 入 侵 检测 系统 的 反 制 动 作 ? ( ) 


A. 终止 应 用 进程 B. 拒绝 操作 请 求 
C. 释放 TCP 连接 D. 全 盘 扫描 
答案 : D 


【分 析 】 全 盘 扫描 是 杀毒 软件 的 功能 ,主机 入 侵 检测 系统 一 般 不 会 携带 病毒 特征 库 ， 
并 在 检测 到 非法 操作 请 求 时 启动 全 盘 扫描 过 程 。 
(17) 关于 理想 的 入侵 检 测 系统 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 


A. 没有 误 报 B. 没有 漏 报 
C. 具有 线 速 检测 信息 流 的 能 力 D. 有 着 多 种 捕获 信息 的 方式 
答案 : D 


【分 析 】 杂凑 方式 下 要 求 的 多 种 捕获 信息 的 方式 ,是 由 这 种 应 用 方式 下 的 网 络 环境 
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提供 的 ,不 是 由 入侵 检测 系统 独立 实现 的 。 
(18) 以 下 哪 一 项 不 是 杂凑 方式 下 捕获 信息 的 方式 ? (。 ) 


A. 集线器 B. 交换 机 端口 镜像 
C. 虚拟 策略 路 由 D. 路 由 协议 
答案 : D 


【分 析 】 杂凑 方式 下 捕获 信息 的 方式 要 求 同 时 做 到 以 下 两 点 : 一 是 实现 正常 的 信息 
传输 过 程 , 二 是 能 够 将 信息 转发 给 入 侵 检测 系统 。 路 由 协议 建立 的 传输 路 径 可 以 实现 正 
常 的 信息 传输 过 程 ,但 无 法 将 信息 转发 给 入 侵 检测 系统 。 

(19) 以 下 哪 一 项 是 杂凑 方式 的 探测 器 最 有 可 能 连接 的 设备 ? ( ) 


A. 路 由 器 B. 防火 墙 
C. 网 关 设 备 D. 交换 机 
答案 : D 


【分 析 】 探测 器 需要 捕获 信息 ,连接 到 交换 机 上 可 以 通过 端口 镜像 等 方法 捕获 信息 。 
(20) 关于 入 侵 检 测 机 制 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 

A. 检测 某 些 字段 取 值 是 否 超出 正常 范围 

B. 检测 流量 分 布 是 否 和 正常 访问 过 程 相似 

C. 检测 信息 中 是 否 包 含 攻击 特征 

D. 检测 信息 传输 过 程 中 是 否 被 算 改 
答案 : D 
【分 析 】 这 是 目的 终端 的 完整 性 检测 功能 ,不 属于 入 侵 检测 机 制 的 检测 范围 。 
(21) 以 下 哪 一 项 不 是 网 络 人 侵 检测 系统 的 检测 机 制 ? ( ”) 


A. 攻击 特征 检测 B. 协议 译 码 
C. 异常 检测 D. 源 端 鉴别 
答案 : D 


【分 析 】 网 络 入 侵 检测 系统 一 般 不 会 事先 获知 将 要 实施 攻击 的 黑客 终端 ,从 而 通过 
源 端 鉴别 发 现 这 些 黑客 终端 发 送 的 信息 。 
(22) 以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 单个 IP 分 组 可 以 包含 全 部 元 攻击 特征 
B. 元 攻击 特征 可 能 分 散在 因为 分 片 产 生 的 多 个 IP 分 组 中 
C. 有 状态 攻击 特征 (组 合 攻击 特征 ) 需 要 记录 状态 迁移 路 径 
D. 有 状态 攻击 特征 只 能 分 布 在 属于 同一 TCP 连接 的 多 个 TCP 报 文中 
答案 : D 
【分 析 】 有 状态 攻击 特征 将 攻击 过 程 划 分 为 多 个 不 同 阶段 ,每 一 个 阶段 包含 对 应 的 
攻击 特征 ,但 没有 要 求 这 些 阶段 必须 是 同一 TCP 连接 的 不 同 阶段 。 
(23) 关于 元 攻击 特征 ,以 下 哪 一 种 描述 是 正确 的 ? ( 。 ) 
A. 用 于 确定 攻击 信息 的 单个 攻击 特征 
B. 一 切 攻击 特征 中 不 变 的 核心 的 字符 串 模 式 
C. 用 于 发 现 所 有 攻击 的 攻击 特征 
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D. 攻击 特征 的 最 小 单位 
答案 : A 
【分 析 】 元 攻击 特征 是 指 用 于 标识 某 个 攻击 的 单一 字符 串 。 
(24) 关于 有 状态 攻击 特征 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 用 于 确定 攻击 信息 分 散在 信息 流 中 的 多 个 攻击 特征 
B. 这 些 攻击 特征 的 出 现 位 置 和 顺序 都 有 严格 的 限制 
C. 需要 保存 每 一 个 阶段 的 检测 状态 
D. 多 个 攻击 特征 包含 在 属于 同一 TCP 连接 的 TCP 报 文中 
答案 : D 
【分 析 】 有 状态 攻击 特征 将 攻击 过 程 划 分 为 多 个 不 同 的 阶段 ,每 一 个 阶段 包含 对 应 
的 攻击 特征 ,但 没有 要 求 这 些 阶 段 必 须 是 同一 TCP 连接 的 不 同 阶段 。 
(25) 以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 攻击 特征 检测 机 制 容易 漏 报 
B. 异常 检测 机 制 容易 误 报 
C. 协议 译 码 能 够 检测 出 恶意 错误 
D. 攻击 特征 检测 机 制 能 够 检测 出 未 知 攻击 
答案 : D 
【分 析 】 通过 分 析 已 经 发 现 的 攻击 行为 ,才能 提取 出 该 攻击 行为 的 特征 信息 。 
(26) 对 于 采用 攻击 特征 检测 机 制 的 网 络 入 侵 检 测 系统 ,以 下 哪 一 项 是 导致 该 网 络 人 
侵 检测 系统 失效 的 原因 ? ( ) 


A. 端 到 端 加 密 传输 B. 源 IP 地址 欺骗 
C. NAT D. 策略 路 由 
答案 : A 


【分 析 】 网 络 入 侵 检测 系统 一 般 位 于 需要 检测 的 信息 必须 经 过 的 位 置 ,因此 ,很 难 通 
过 策略 路 由 绕 过 。 攻 击 特征 通常 包含 在 IP 分 组 净 荷 或 者 传输 层 报 文 净 荷 中 ,因此 , 端 到 
端 加 密 传输 是 无 法 检测 出 攻击 特征 的 主要 原因 。 

(27) 关于 协议 译 码 ,以 下 哪 一 项 描述 是 错误 的 ?> (  ) 

A. 检测 IP 分 组 首部 

B. 检测 TCP 报 文 首部 

C. 检测 通过 服务 指定 的 信息 交换 过 程 
D. 检测 ESP 报 文中 的 密 文 净 荷 

答案 : D 

【分 析 】 网 络 和 人 侵 检测 系统 无 法 对 密 文 进行 检测 。 

(28) 关于 异常 检测 ,以 下 哪 一 项 描述 是 错误 的 ( ) 

A. 入侵 行为 有 别 于 正常 行为 

B. 基于 对 正常 行为 的 统计 建立 基准 信息 
C. 人 工 设置 基准 信息 

D. 精确 区 分 入 侵 行为 和 正常 行为 
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答案 : D 
【分 析 】 正常 访问 网 络 的 行为 和 攻击 网 络 的 行为 之 间 存 在 重 倒 ,因此 ,很 难 精确 区 分 
人 侵 行为 和 正常 行为 ,故而 存在 误 报 或 漏 报 的 情况 。 
(29) 关于 入 侵 检测 机 制 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 协议 译 码 可 以 阻 断 非法 信息 交换 过 程 
B. 攻击 特征 检测 可 以 检测 出 已 经 发 现 的 攻击 行为 
C. 异常 检测 可 以 检测 出 一 些 未 知 的 攻击 行为 
D. 网 络 入侵 检测 系统 必须 同时 具备 三 种 检测 机 制 
答案 : D 
【分 析 】 不 同 网 络 入侵 检测 系统 的 差别 很 大 ,功能 简单 的 网 络 入 侵 检测 系统 可 能 只 
具备 攻击 特征 检测 这 一 检测 机 制 和 根据 已 经 发 现 的 攻击 行为 得 出 的 攻击 特征 库 。 
(30) 以 下 哪 一 项 不 属于 网 络 人 侵 检测 系统 安全 策略 需要 指定 的 信息 ? ( ) 


A. 需要 检测 的 信息 流 B. 检测 机 制 和 检测 内 容 
C. 对 入 侵 信息 的 反 制 动作 D. 网 络 信 侵 检测 系统 的 设置 位 置 
答案 : D 


【分 析 】 安全 策略 是 根据 网 络 入侵 检 测 系 统 需 要 完成 的 安全 功能 设计 的 ,只 有 在 确 
定 网 络 人 侵 检测 系统 的 设置 位 置 后 才能 确定 网 络 人 侵 检 测 系统 需要 完成 的 安全 功能 。 
(31) 以 下 哪 一 项 不 属于 拦截 操作 请 求 的 机 制 ? (  ) 


A. 修改 操作 系统 内 核 B. 系统 调用 拦截 
C. 网 络 信息 流 监 测 D. 系统 日 志 
答案 : D 


【分 析 】 系统 日 志 只 是 记录 进程 和 用 户 对 系统 实施 的 操作 的 信息 。 
(32) 关于 主机 入 侵 检测 系统 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
适合 端 到 端 加 密 传输 情况 

B. 可 以 检测 出 一 些 未 知 的 攻击 行为 

C. 可 以 有 效 利 用 系统 日 志 的 信息 

D. 可 以 发 现 主机 扫描 
答案 : D 
【分 析 】 主机 扫描 是 指 黑客 对 一 组 IP 地 址 逐个 进行 ping 操作 ,因此 ,主机 入 侵 检测 

系统 是 无 法 根据 接收 到 的 单个 ICMP ECHO 请 求 报 文 判断 出 黑客 是 否 正 在 进行 主机 扫 


描 的 。 
(33) 以 下 哪 一 项 不 属于 主机 入 侵 检测 系统 安全 策略 需要 指定 的 信息 ? ( ) 
A. 操作 请 求 发 起 者 B. 操作 
C. 对 象 D. 主机 连接 的 网 络 类 型 
答案 : D 


【分 析 】 一 般 情况 下 ,主机 位 置 会 影响 主机 资源 访问 权限 ,但 主机 连接 的 网 络 类 型 通 
不 会 影响 主机 资源 访问 权限 。 
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12.3 名 词 解释 


(1) 入 侵 检测 系统 

一 种 可 以 获取 流 经 关键 链 路 的 信息 ,并 能 够 对 这 些 信息 进行 检测 ,发 现 包 含 在 这 些 信 
息 中 与 实施 攻击 有 关 的 有 害 信 息 ,并 予以 反 制 的 设备 。 

(2) 人 侵 

所 有 破坏 网 络 中 信息 可 用 性 ,保密 性 和 完整 性 的 行为 。 

(3) 主机 入 侵 检测 系统 

一 种 发 现 针对 主机 系统 的 人 侵 行为 并 予以 反 制 的 设备 。 

(4) 网 络 入 侵 检 测 系统 

一 种 发 现 针对 网 络 的 入侵 行为 并 予以 反 制 的 设备 。 

(5) 在 线 方式 

一 种 网 络 人 侵 检测 系统 的 应 用 方式 ,这 种 应 用 方式 下 ,IDS 位 于 关键 链 路 的 中 间 ,所 
有 经 过 该 关键 链 路 传输 的 信息 必须 经 过 IDS。 

(6) 杂凑 方式 

一 种 网 络 信 侵 检测 系统 的 应 用 方式 ,这 种 应 用 方式 下 ,入 侵 检 测 系统 对 信息 经 过 关键 
链 路 的 传输 过 程 没有 影响 ,只 能 被 动 捕获 经 过 关键 链 路 传输 的 信息 。 因 此 ,无 法 实时 阻 断 
入 侵 信息 的 传输 过 程 。 

(7) 攻击 特征 

用 于 鉴别 是 否 是 攻击 信息 的 特定 字符 串 模式 。 

(8) 元 攻击 特征 

用 于 确定 攻击 信息 的 单个 攻击 特征 。 

(9) 有 状态 攻击 特征 

用 于 确定 攻击 信息 的 分 散在 信息 流 中 的 多 个 攻击 特征 。 

(10) 协议 译 码 

一 种 通过 对 IP 分 组 格式 、TCP 报 文 格式 进行 检测 ,根据 TCP 报 文 的 目的 端口 字段 
值 或 IP 报 文 的 协议 字段 值 确定 报 文 净 荷 对 应 的 应 用 层 协 议 ,然后 根据 协议 要 求 对 净 荷 格 
式 、 净 荷 中 各 字段 内 容 .请求 和 响应 过 程 进行 检测 ,以 此 发 现 攻击 信息 的 检测 机 制 。 

(11) 攻击 特征 检测 

一 种 从 已 经 发 现 的 攻击 中 提取 出 能 够 标识 这 一 攻击 的 特征 信息 ,构成 攻击 特征 库 , 然 
后 对 捕获 到 的 信息 进行 攻击 特征 匹配 操作 ,以 此 发 现 攻击 信息 的 检测 机 制 。 

(12) 异常 检测 

一 种 需要 事先 建立 正常 网 络 访问 过 程 下 的 信息 流 模式 库 和 资源 访问 操作 规则 库 ， 
然后 实时 分 析 捕 获 到 的 信息 ,并 根据 捕获 到 的 信息 得 出 的 信息 流 模 式 , 或 者 根据 捕获 
到 的 信息 得 出 的 网 络 资源 访问 操作 与 已 经 建立 的 信息 流 模式 库 或 资源 访问 操作 规则 
库 中 相应 的 信息 流 模 式 或 访问 操作 规则 之 间 是 否 存 在 较 大 偏差 ,发 现 攻 击 信息 的 检测 
机 制 。 


Na/ 网 络 安 全 习题 详解 


(13) 误 报 

把 正常 的 信息 交换 过 程 或 网 络 资源 访问 过 程 作为 攻击 过 程 予 以 反 制 和 报警 的 情况 。 

(14) 漏 报 

把 攻击 过 程 当 作 正 常 的 信息 交换 过 程 或 网 络 资源 访问 过 程 不 予 干 预 ,从 而 使 黑客 攻 
击 成 功 的 情况 。 


病毒 防御 技术 


13.1 例题 解析 


【例题 13. 1】 简 述 阻止 病毒 传播 和 和 危害 发 生 的 措施 。 

【解析 】 这 些 措施 分 为 基于 主机 系统 的 措施 和 基于 网 络 的 措施 ,基于 主机 系统 的 措 
施 有 : 及 时 运行 补丁 软件 :安装 查 杀 病毒 软件 ;安装 主机 入 侵 检 测 系统 ;安装 个 人 防火 墙 
等 。 基 于 网 络 的 措施 有 : 在 网 络 边界 设置 控制 网 络 间 信 息 交 换 过 程 的 防火 墙 ; 在 关键 链 
路 设置 严格 监控 流 经 该 段 链 路 的 信息 流 的 网 络 入 侵 检测 系统 ;采用 隐藏 内 部 网 络 的 NAT 
技术 ;限制 疑似 与 病毒 传播 和 拒绝 服务 攻击 有 关 的 信息 流 的 流量 的 流量 管制 技术 等 。 

【例题 13. 2】 内 部 网 络 综合 病毒 防御 系统 如 图 13. 1 所 示 ,完成 以 下 安全 功能 配置 


过 程 。 
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图 13.1 内 部 网 络 综合 病毒 防御 系统 


(1) 通过 NAT 隐藏 内 部 网 络 。 

(2) 通过 设置 有 状态 分 组 过 滤器 只 允许 与 访问 Internet 中 的 Web 服务 器 .FTP 服务 
器 和 下 Mail 服务 器 的 过 程 相关 的 IP 分 组 输入 /输出 路 由 器 接口 1。 

(3) 通过 设置 入侵 检测 系统 规则 ,要求 能 够 有 效 阻 止 蠕虫 病毒 在 内 部 网 络 的 蔓延 。 


【解析 】 
(1) 路 由 器 实现 PAT 功能 ,只 允许 由 内 部 网 络 终端 发 起 访问 Internet 的 过 程 。 内 部 
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网 络 对 于 Internet 是 透明 的 。 因 此 ,Internet 中 的 黑客 无 法 主动 发 起 对 内 部 网 络 终端 的 
和信 侵 过 程 。 

(2) 路 由 器 接口 1 输入 方向 设置 如 表 13. 1 所 示 的 分 组 过 滤器 ,该 分 组 过 滤器 只 允许 
内 部 网 络 终端 发 送 的 与 访问 Internet 中 的 Web 服务 器 .FTP 服务 器 和 E-Mail 服务 器 的 
过 程 相关 的 IP 分 组 输入 路 由 器 接口 1。 路 由 器 接口 1 输出 方向 设置 如 表 13. 2 所 示 的 分 
组 过 滤器 ,该 分 组 过 滤器 禁止 一 切 IP 分 组 输出 。 


表 13.1 路 由 器 接口 1 输入 方向 分 组 过 滤器 
规则 号 | 协议 源 瑟 地 址 目的 也 地 址 源 端口 号 目的 端口 号 动作 




















1 TCP | 192.168.1.0/24 x >1023 80 允许 
TCP | 192.168.1.0/24 x >1023 21 允许 
3 TCP | 192.168.1.0/24 x >1023 20 允许 
4 TCP | 192.168.1.0/24 x >1023 25 人 允许 
5 TCP | 192.168.1.0/24 x >1023 110 允许 
6 x x x 拒绝 


表 13.2 路 由 器 接口 1 输出 方向 分 组 过 滤器 
规则 号 | 协议 源 耳 地 址 目的 IP 地 址 源 端 口号 目的 端口 号 动作 
L * 类 关 _ 拒绝 























路 由 器 接口 1 输入 方向 设置 监测 以 下 应 用 层 协议 的 监测 器 。 

HTTR 

FTP 

SMTP 

POP3 

一 旦 路 由 器 接口 1 输入 方向 监测 到 上 述 应 用 层 协 议 的 请 求 消息 ,路 由 器 接 口 1 输出 
方向 动态 增加 允许 这 些 请 求 消息 对 应 的 响应 消息 输出 的 过 滤器 规则 。 以 此 保证 路 由 器 接 
口 1 只 允许 输入 /输出 与 内 部 网 络 终端 发 起 的 ,访问 Internet 中 的 Web 服务 器 .FTP 服务 
器 和 E-Mail 服务 器 的 过 程 相关 的 IP 分 组 。 

(3) 为 探测 器 设置 用 于 阻止 通过 邮件 传播 病毒 的 规则 。 一 旦 检测 到 违反 以 下 规则 的 
信息 流 , 则 阻塞 源 终端 一 段 时 间 T。 

阻止 通过 邮件 传播 病毒 的 规则 如 下 。 

Q@ 每 一 个 终端 的 平均 传输 速率 小 于 等 于 3Mb/s。 

@ 超过 100ms 连续 成 组 传输 IP 分 组 (成 组 传输 是 指 相 邻 IP 分 组 的 时 间 间 隔 小 于 
5ps 的 情况 ) 的 概率 小 于 等 于 1%。 

@ 电子 邮件 在 所 有 发 送 的 信息 中 所 占 的 比例 小 于 等 于 10%。 

为 探测 器 设置 用 于 发 现 蠕虫 病毒 传播 过 程 的 攻击 特征 。 一 旦 检测 到 符合 攻击 特征 的 
信息 流 , 阻 塞 源 终端 一 段 时 间 T。 
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用 于 发 现 蠕虫 病毒 传播 过 程 的 攻击 特征 如 下 。 


。 单位 时 间 内 源 IP 地 址 相同 、 目 的 端口 号 为 80 的 请 求 建立 TCP 连接 的 请 求 报 文 
数量 大 于 等 于 500。 

。 包含 特定 引导 程序 代码 的 HTTP 请 求 消息 。 

。 建立 反 向 连接 。 


13.2 选择 题 分 析 


(1) 以 下 哪 一 项 病毒 通常 不 是 寄生 病毒 ? ( 。 ) 
A. 脚本 病毒 B. 宏 病 毒 
C. PE 病毒 D. 蠕虫 病毒 
答案 : D 
【分 析 】 蠕虫 病毒 通常 是 一 个 独立 、 完 整 的 程序 。 
(2) 以 下 哪 一 项 不 是 常见 的 将 病毒 植 入 主机 的 方式 ? ( 。 ) 
A. 移动 媒体 B. 访问 网 页 
C. 邮件 附件 D. 运行 正版 软件 
答案 : D 
【分 析 】 正规 厂商 发 行 的 正版 软件 中 不 会 嵌入 病毒 程序 。 
(3) 以 下 哪 一 项 不 是 常见 的 第 一 次 运行 病毒 的 方式 ? ( ) 
A. 插入 包含 AutoRun 病毒 的 口 盘 
B. 浏览 包含 脚本 病毒 的 网 页 
C. 打开 包含 宏 病 毒 的 Office 文档 
D. 接收 到 附件 是 包含 病毒 的 可 执行 程序 的 邮件 
答案 : D 
【分 析 】 只 要 不 人 工 运 行 附件 中 包含 病毒 的 可 执行 程序 ,计算 机 就 不 会 自动 启动 附 
件 中 的 病毒 程序 。 
(4) 以 下 哪 一 项 不 是 常见 的 计算 机 自动 激发 病毒 的 方式 ? ( 。 ) 
A. 将 病毒 嵌入 BIOS 和 引导 区 
B. 将 病毒 程序 作为 自 启动 项 
C. 将 病毒 嵌入 常用 设备 的 设备 驱动 程序 
D. 为 病毒 程序 创建 桌面 快捷 方式 
答案 : D 
【分 析 】 计算 机 不 会 自动 启动 桌面 快捷 方式 对 应 的 病毒 程序 。 
(5) 关于 病毒 感染 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 将 宏 病 毒 嵌入 Office 文档 中 
B. 将 脚本 病毒 嵌入 HTML 文档 中 
C. 将 PE 病毒 嵌入 PE 格式 文件 中 
D. 将 病毒 程序 做 入 信箱 中 邮件 的 附件 中 
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答案 : D 

【分 析 】 信箱 中 的 邮件 一 般 都 是 已 经 发 送 或 者 接收 的 邮件 ,将 病毒 程序 嵌入 信箱 中 
邮件 的 附件 中 ,已 经 没有 意义 。 不 过 ,在 病毒 发 作 时 ,可 能 会 生成 大 量 附件 是 病毒 程序 的 
邮件 ,并 将 这 些 邮 件 发 送 给 信箱 。 

(6) 以 下 哪 一 项 不 是 病毒 可 能 实施 的 破坏 活动 7(  ) 


A. 破坏 硬盘 中 的 信息 B. 发 起 拒绝 服务 攻击 
C. 破坏 BIOS 中 的 信息 D. 损坏 主板 器 件 
答案 : D 


【分 析 】 由 于 BIOS 支持 在 线 擦 除 和 写 入 ,因此 ,病毒 可 以 破坏 BIOS 中 的 信息 ,但 病 
毒 一 般 不 能 破坏 主板 上 的 其 他 器 件 。 
(7) 关于 基于 主机 的 病毒 防御 技术 ,以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. 通过 检测 程序 中 的 病毒 代码 特征 确定 程序 是 否 包 含 病毒 
B. 通过 分 析 程 序 中 的 功能 模块 确定 程序 是 否 包含 病毒 
C. 通过 监控 程序 的 行为 确定 该 程序 是 否 是 病毒 程序 
D. 通过 追踪 程序 的 生成 者 确定 该 程序 是 否 是 病毒 程序 
答案 ; D 
【分 析 】 对 于 具有 数字 签名 的 程序 ,确定 程序 的 生成 者 是 比较 方便 的 ,对 于 用 户 编写 
的 一 般 应 用 程序 ,确定 程序 的 生成 者 是 比较 困难 的 。 因 此 ,基于 主机 的 病毒 防御 技术 不 会 
简单 地 根据 能 否 确定 程序 生成 者 确定 该 程序 是 否 是 病毒 程序 。 
(8) 以 下 哪 一 项 病毒 的 变种 处 理 对 避免 病毒 被 基于 特征 的 扫描 技术 发 现 是 无 效 的 ? 
CC 





A. 压缩 病毒 B. 用 随机 产生 的 密 钥 加 密 病毒 
C. 随机 插入 无 效 代码 D. 指令 同 义 替 换 
答案 : A 


【分 析 】 避免 被 基于 特征 的 扫描 技术 发 现 的 前 提 是 每 一 次 变形 处 理 后 的 结果 都 是 不 
同 的 。 但 同一 段 代码 每 一 次 压缩 处 理 后 的 结果 是 相同 的 。 
(9) 关于 基于 特征 的 扫描 技术 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 事先 建立 病毒 特征 库 
B. 病毒 特征 是 可 以 标识 某 个 病毒 的 一 段 代码 或 文本 内 容 
C. 病毒 特征 是 通过 分 析 已 经 发 现 的 病毒 提取 的 
D. 病毒 特征 可 以 标识 未 发 现 的 病毒 
答案 : D 
【分 析 】 病毒 特征 是 通过 分 析 已 经 发 现 的 病毒 提取 的 该 病毒 有 别 于 正常 代码 或 文本 
的 特征 信息 ,不 能 标识 未 知 病毒 。 
(10) 关于 基于 线索 的 扫描 技术 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 不 需要 精确 匹配 病毒 特征 
B. 通过 分 析 可 执行 文件 入 口 处 代码 的 功能 确定 该 文件 是 否 感染 病毒 
C. 可 以 发 现 变形 病毒 和 未 知 病毒 





D. 可 以 取代 基于 特征 的 扫描 技术 
答案 : D 
【分 析 】 基于 线索 的 扫描 技术 只 能 作为 基于 特征 的 扫描 技术 的 补充 ,用 于 发 现 一 些 
变形 和 未 知 的 病毒 ,不 是 主流 的 基于 主机 的 病毒 防御 技术 。 
(11) 关于 基于 完整 性 检测 的 扫描 技术 ,以 下 哪 一 项 描述 是 错误 的 ? ( ) 
A. 不 需要 精确 匹配 病毒 特征 B. 可 以 发 现 变 形 病毒 和 未 知 病毒 
C. 不 需要 分 析 文 件 中 的 代码 功能 D. 可 以 发 现 文件 的 任何 改变 
答案 : D 
【分 析 】 基于 完整 性 检测 的 扫描 技术 通过 检测 一 段 时间 内 文件 是 否 发 生 改变 判断 文 
件 是 否 感染 病毒 。 判 断 文件 是 否 改变 的 依据 是 文件 的 报 文摘 要 。 没 有 一 种 报 文摘 要 算法 
可 以 保证 能 够 通过 报 文摘 要 检测 出 文件 发 生 的 任何 改变 。 
(12) 以 下 哪 一 项 病毒 检测 机 制 是 检测 系统 软件 是 否 感染 病毒 的 有 效 方法 ? ( ) 


A. 基于 特征 的 扫描 技术 B. 基于 线索 的 扫描 技术 
C. 基于 完整 性 检测 的 扫描 技术 D. 基于 行为 的 检测 技术 
答案 : C 


【分 析 】 在 较 长 时 间 内 不 变 的 系统 软件 适合 采用 基于 完整 性 检测 的 扫描 技术 ,用 该 
扫描 技术 可 以 发 现 被 大 多 数 已 知 和 未 知 病毒 感染 的 文件 。 
(13) 关于 基于 行为 的 检测 技术 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 需要 为 不 同 用 户 配置 访问 权限 
B. 需要 监控 用 户 进程 发 出 的 操作 请 求 
C. 可 以 发 现 变形 病毒 和 未 知 病毒 
D. 可 以 用 访问 权限 精确 区 分 病毒 行为 和 正常 访问 操作 
答案 ; D 
【分 析 】 基于 行为 的 检测 技术 由 于 很 难 区 分 正常 和 非 正常 的 资源 访问 操作 ,因而 无 
法 为 用 户 精 确 配 置 资源 访问 权限 ,所 以 常常 发 生 漏 报 和 误 报 病毒 的 情况 。 
(14) 关于 基于 模拟 运行 环境 的 检测 技术 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 事先 建立 已 知 病毒 的 操作 特征 库 和 资源 访问 原则 
B. 在 软件 仿真 环境 中 模拟 程序 的 执行 过 程 
C. 可 以 监控 病毒 程序 的 破坏 结果 
D. 可 以 作为 一 种 独立 使 用 的 病毒 检测 技术 
答案 : D 
【分 析 】 该 病毒 检测 技术 需要 与 其 他 基于 主机 的 病毒 检测 技术 一 起 使 用 ,一 般 情 况 
下 ,由 其 他 病毒 检测 技术 发 现 疑 似 病毒 程序 ,然后 由 基于 模拟 运行 环境 的 检测 技术 确定 是 
否 是 病毒 程序 。 
(15) 以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 安装 杀毒 软件 的 机 器 是 安全 的 
B. 防火 墙 具 有 阻止 病毒 传播 的 功能 
C. 人 入侵 检测 系统 具有 发 现 病毒 的 功能 
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D. 操作 系统 漏洞 是 机 器 感染 病毒 的 主要 原因 
答案 : A 
【分 析 】 一 般 情况 下 ,杀毒 软件 只 能 查 杀 病毒 特征 已 经 包含 在 病毒 特征 库 中 的 已 知 
病毒 。 
(16) 防火 墙 能 有 效 阻止 以 下 哪 一 项 病毒 传播 方式 ? (。 ) 
A. 利用 主机 系统 漏洞 自动 传播 病毒 ” B. 通过 邮件 传播 病毒 
C. 通过 Web 页 面 传播 病毒 D. 通过 实用 程序 传播 病毒 
答案 : A 
【分 析 】 防火 墙 只 能 通过 访问 控制 策略 禁止 一 些 信息 交换 过 程 ,其 他 三 种 传播 方式 
往往 利用 访问 控制 策略 允许 进行 的 信息 交换 过 程 传播 病毒 。 
(17) 关于 防火 墙 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 防火 墙 主要 用 于 控制 网 络 之 间 的 数据 交换 过 程 
B. 防火 墙 能 有 效 抑制 内 网 终端 中 的 木马 外 泄 信 息 
C. 防火 墙 能 减缓 拒绝 服务 攻击 
D. 防火 墙 能 杜绝 病毒 从 一 个 网 络 传播 到 另 一 个 网 络 
答案 : D 
【分 析 】 防火 墙 的 主要 功能 是 控制 网 络 间 数 据 的 交换 过 程 , 检 测 数据 中 是 否 携带 病 
毒 不 是 防火 墙 的 主要 任务 ,杜绝 病毒 传播 更 是 不 可 能 的 。 
(18) 网 络 人 侵 检测 系统 对 以 下 哪 一 项 病毒 传播 方式 不 起 作用 ? ( ) 
A. 利用 主机 系统 漏洞 自动 传播 病毒 ” B. 通过 邮件 传播 病毒 
C. 通过 Web 页 面 传播 病毒 D. 通过 实用 程序 传播 病毒 
答案 : D 
【分 析 】 通过 攻击 特征 匹配 和 访问 控制 策略 能 发 现 A 选项 的 传播 方式 。 通 过 精心 
设置 阔 值 和 规则 也 能 发 现 B 选 项 的 传播 方式 。 通 过 深入 检查 、 分 析 一 段 时 间 内 相互 交换 
的 信息 可 以 发 现 C 选项 的 传播 方式 。 除 非 实用 程序 包含 已 经 提取 出 病毒 特征 的 病毒 , 且 
网 络 和 人 侵 检测 系统 具有 根据 病毒 特征 库 查 杀 病 毒 的 功能 ,否则 ,静态 分 析 某 个 实用 程序 是 


和 否 包含 病 毒 是 很 难 的 。 
13.3 名 词 解 释 
(1) 病毒 
一 种 具有 感染 和 传播 能 力 的 特殊 的 恶意 代码 。 
(2) 寄生 病毒 
一 段 寄 生 在 其 他 程序 和 文件 中 的 恶意 代码 。 
(3) 脚本 病毒 
一 段 用 脚本 语言 编写 的 嵌入 在 HTML 文档 中 的 恶意 代码 。 
(4) 宏 病 毒 


一 段 由 VBA 编写 的 以 宏 的 形式 寄生 在 Office 文档 中 的 恶意 代码 。 
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(5) PE 病毒 

一 段 嵌入 在 PE 格式 文件 中 的 恶意 代码 。 

(6) AutoRun 病毒 

一 种 通过 修改 U 盘 的 AutoRun. inf 文件 和 启动 Windows 系统 的 自动 播放 功能 ,使 
计算 机 能 够 在 打开 U 盘 时 自动 执行 的 病毒 程序 。 

(7) 蠕虫 病毒 

一 种 能 够 自动 完成 植 人 和 运行 过 程 的 非 寄生 病毒 程序 。 

(8) 木马 病毒 

一 种 旨 在 削弱 主机 系统 的 安全 机 制 ,为 黑客 访问 主机 系统 资源 提供 方便 的 病毒 程序 。 

(9) 基于 特征 的 扫描 技术 

一 种 通过 分 析 已 经 发 现 的 病毒 ,提取 出 每 一 种 病毒 有 别 于 正常 代码 或 文本 的 病毒 特 
征 ,并 以 此 建立 病毒 特征 库 。 然 后 根据 病毒 特征 库 在 扫描 的 文件 中 进行 匹配 操作 ,以 此 确 
定 该 文件 是 否 包含 病毒 的 病毒 检测 技术 。 

(10) 基于 线索 的 扫描 技术 

一 种 通过 分 析 可 执行 文件 入 口 处 代码 的 功能 确定 该 文件 是 否 感染 病毒 的 病毒 检测 
技术 。 

(11) 基于 完整 性 检测 的 扫描 技术 

一 种 通过 定期 检测 文件 是 否 发 生 改变 确定 该 文件 是 否 包 含 病毒 的 病毒 检测 技术 。 

(12) 基于 行为 的 检测 技术 

一 种 根据 程序 运行 过 程 中 的 行为 判断 该 程序 是 否 是 病毒 程序 的 病毒 检测 技术 。 

(13) 基于 模拟 运行 环境 的 检测 技术 

一 种 通过 在 软件 仿真 环境 中 模拟 程序 的 执行 过 程 ,并 根据 程序 执行 过 程 中 产生 的 一 
系列 操作 判断 该 程序 是 否 是 病毒 程序 的 病毒 检测 技术 。 
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14.1 例题 解析 
【例题 14. 1】 如 果 访 问 控制 矩阵 如 表 14. 1 所 示 , 给 出 对 应 的 访问 控制 表 和 访问 能 
力 表 。 
表 14.1 访问 控制 矩阵 
客 体 
主体 
资源 X 资源 Y 资源 
用 户 A 读 , 修 改 ,管理 读 , 修 改 ,管理 
用 户 B 读 ,修改 ,管理 
用 户 C 读 读 ,修改 
用 户 D 读 读 ,修改 读 , 修 改 ,管理 
【解析 】 
(1) 访问 控制 表 如 图 14. 1 所 示 。 
资源 X [| ”用 户 C 用 户 D 
读 读 
(a) 资源 X 访 问 控制 表 
资源 Y =| 用户 A 用 户 B 用 户 C 用 户 D 
读 、 修改 、 管理 淡 、 修改 、 管理 | ” 读 、 修改 读 、 修改 
(b) 资源 Y 访 问 控制 表 
资源 2 一 -=| ”用 户 A 用 户 D 














读 、 修改 、 管理 | 读 、 修改 、 管理 














(0) 资源 2 访问 控制 表 


图 14.1 访问 控制 表 
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(2) 访问 能 力 表 如 图 14. 2 所 示 。 





用 户 A 一 >| ”资源 Y 资源 Z 
读 、 修 改 、 管 理 | 读 、 修 改 、 管 理 

















(a) 用 户 A 访 问 能 力 表 





用 户 B 一 -=| ”资源 Y 
读 、 修改 、 管理 


(b) 用 户 B 访 问 能 力 表 




















用 户 C 一 ~ ”资源 X 资源 Y 
读 读 、 修改 





(c) 用 户 C 访 问 能 力 表 











用 户 D ~ ”资源 X 资源 Y 资源 Z 
读 读 、 修改 ”| 读 、 修改 、 管理 




















(d) 用 户 D 访 问 能 力 表 
图 14.2 访问 能 力 表 


14.2 选择 题 分 析 


(1) 以 下 哪 一 项 不 是 网 络 环境 中 主机 的 安全 威胁 ? (  ) 


A. 病毒 B. 黑客 人 侵 
C. 越权 访问 D. 密码 策略 
答案 : D 


【分 析 】 密码 策略 可 以 保证 用 户 配置 安全 的 密码 。 
(2) 以 下 哪 一 项 不 属于 计算 机 安全 技术 ? (。 ) 


A. 病毒 防御 技术 B. 个 人 防火 墙 
C. 主机 入 侵 检 测 系统 D. VPN 
答案 : D 
【分 析 】 VPN 主要 用 于 实现 跨 互 连 网 安全 传输 数据 的 过 程 ,不 能 算是 计算 机 安全 


技术 。 
(3) 以 下 哪 一 项 是 为 了 防范 计算 机 系统 和 资源 被 未 授权 访问 而 采取 的 第 一 道 防线 ? 
( ) 
A. 访问 控制 B. 授权 C. 审计 D. 加 密 
答案 : A 
【分 析 】 访问 控制 的 主要 功能 之 一 就 是 拒绝 非 授权 用 户 非法 获取 资源 。 授 权 和 审计 
是 访问 控制 的 组 成 部 分 。 加 密 是 一 种 在 访问 控制 失败 后 ,用 于 保证 资源 保密 性 的 技术 。 
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(4) 以 下 哪 一 项 与 访问 控制 实现 过 程 无 关 ? ( ) 
A. 身份 鉴别 B. 授权 
C. 访问 控制 D. 客体 加 密 
答案 : D 
【分 析 】 访问 控制 是 保证 主体 只 能 访问 授权 访问 的 客体 , 且 只 能 对 客体 进行 授权 的 
操作 。 因 此 ,客体 加 密 只 有 在 访问 控制 失败 的 情况 下 才 有 用 。 
(5) 以 下 哪 一 项 不 是 访问 控制 模型 的 缩写 ? (。 ) 
A. DAC B. MAC C. RBAC D. TCSEC 
答案 : D 
【分 析 】 TCSEC 是 可 信 计 算 机 评估 准则 的 英文 缩写 。 
(6) 关于 自主 访问 控制 模型 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 基于 主体 或 主体 所 属 的 主体 组 的 身份 限制 主体 对 客体 的 访问 
B. 自主 是 指 拥有 资源 的 主体 能 够 自主 地 将 访问 权限 或 访问 权限 的 某 个 子 集 授 
予 其 他 主体 
C. 用 访问 控制 矩阵 表示 一 组 主体 对 一 组 客体 的 访问 权限 
D. 访问 控制 矩阵 是 描述 访问 控制 策略 的 最 佳 方式 
答案 : D 
【分 析 】 如 果 存 在 之 个 主体 和 ?个 客体 ,访问 控制 矩阵 有 着 m Xn 个 单元 格 。 由 于 
每 一 个 主体 只 能 授权 访问 有 限 个 客体 ,因此 ,在 每 一 行 对 应 的 个 单元 格 中 ,大 量 单元 格 
是 空白 的 。 
(7) 关于 访问 控制 表 , 以 下 哪 一 项 描述 是 错误 的 ? 〈 和 
A. 以 客体 为 中 心 ,为 每 一 个 客体 分 配 访问 权限 
B. 访问 控制 表 是 操作 系统 最 常用 的 访问 控制 模型 
C. 访问 控制 表 中 列 出 所 有 允许 访问 该 客体 的 主体 和 主体 对 该 客体 的 访问 权限 
D. 访问 控制 表 一 般 用 于 对 客体 分 布 式 管理 的 应 用 环境 
答案 : D 
【分 析 】 访问 控制 表 一 般 用 于 对 客体 集中 管理 的 应 用 环境 。 用 户 登 录 主机 后 ,可 以 
对 集中 在 该 主机 中 且 允 许 该 用 户 访问 的 所 有 客体 进行 访问 。 
(8) 关于 访问 能 力 表 ,以 下 哪 一 项 描述 是 错误 的 ? (。 ) 
A. 以 主体 为 中 心 ,为 每 一 个 主体 分 配 访问 权限 
B. 访问 能 力 表 中 列 出 所 有 允许 该 主体 访问 的 客体 和 该 主体 对 客体 的 访问 权限 
C. 访问 能 力 表 一 般 用 于 对 客体 分 布 式 管理 的 应 用 环境 
D. 访问 能 力 表 是 操作 系统 最 常用 的 访问 控制 模型 
答案 : D 
【分 析 】 操作 系统 的 功能 之 一 是 实现 对 主机 中 资源 的 访问 控制 过 程 , 是 一 种 对 客体 
集中 管理 的 应 用 环境 ,通常 使 用 访问 控制 表 。 
(9) 关于 自主 访问 控制 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 由 于 分 布 式 系统 中 很 难 确定 给 定 客体 的 潜在 主体 集 ,访问 能 力 表 在 分 布 式 系 








统 中 得 到 广泛 应 用 
B. 基于 和 矩阵 中 列 的 访问 控制 信息 表示 访问 能 力 表 , 即 每 个 客体 附加 一 个 它 可 以 
访问 的 主体 的 明细 表 
C. 自主 访问 控制 模型 的 实现 机 制 是 通过 访问 控制 矩阵 实施 的 ,而 具体 的 实现 办 
法 则 是 通过 访问 能 力 表 或 访问 控制 表 限 定 哪 些 主体 针对 哪些 客体 可 以 执行 
什么 操作 
D. 系统 中 的 访问 控制 矩阵 本 身 通 常 不 被 完整 地 存储 ,因为 矩阵 中 的 许多 元 素 常 
常 为 空 
答案 : B 
【分 析 】 基于 和 矩阵 中 列 的 访问 控制 信息 表示 访问 控制 表 。 
(10) 关于 强制 访问 控制 模型 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 是 系统 强制 主体 服从 的 访问 控制 策略 
B. 强制 指 对 所 有 主体 及 所 控制 的 客体 实施 强制 访问 控制 
C. 每 一 个 主体 和 客体 赋予 一 个 安全 级 别 
D. 每 一 个 主体 只 允许 访问 安全 级 别 低 于 自己 的 客体 
答案 ; D 
【分 析 】 不 同 的 安全 要 求 有 着 不 同 的 访问 控制 模型 ,如 为 了 保证 数据 的 保密 性 ,要求 
不 向 下 写 , 即 只 有 当主 体 安全 级 别 低 于 或 等 于 客体 安全 级 别 时 , 才 允 许 主体 对 客体 进行 写 
操作 。 
(11) 关于 强制 访问 控制 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. Bell-LaPadula 模型 具有 只 允许 向 下 读 、 向 上 写 的 特点 ,可 以 有 效 地 防止 机 
密 信息 向 下 级 泄露 
B. Biba 模型 具有 不 允许 向 下 读 、 向 上 写 的 特点 ,可 以 有 效 地 保护 数据 的 完 
整 性 
C. 强制 访问 控制 通过 为 每 一 个 主体 和 客体 赋予 一 个 安全 级 别 ,实现 了 信息 的 
单 向 流通 
D. Biba 模型 作为 BLP 模型 的 补充 而 提出 ,利用 “不 上 读 / 不 下 写 ” 的 原则 保证 
数据 的 完整 性 
答案 : D 
【分 析 】 Bell-LaPadula 和 Biba 是 两 种 功能 不 同 的 强制 访问 控制 模型 ,Bell-LaPadula 
用 于 保证 数据 的 保密 性 ,而 Biba 用 于 保证 数据 的 完整 性 ,Biba 模型 不 是 作为 BLP 模型 的 
补充 而 提出 的 。 
(12) 关于 Bell-LaPadula 模型 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. Bell-LaPadula 模型 用 于 保证 数据 保密 性 
B. 要 求 主体 不 能 对 安全 级 别 高 于 自己 的 客体 进行 读 操作 
C. Bell-LaPadula 模型 的 访问 原则 是 不 上 读 / 不 下 写 
D. 允许 数据 从 安全 级 别 高 的 客体 流向 安全 级 别 低 的 客体 
答案 : D 
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【分 析 】 如 果 允 许 数据 从 安全 级 别 高 的 客体 流向 安全 级 别 低 的 客体 ,即使 做 到 不 上 
读 , 依 然 使 主体 能 够 读 到 安全 级 别 高 于 自己 的 客体 。 
(13) 关于 Biba 模型 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. Biba 模型 用 于 保证 数据 的 完整 性 
B. 要 求 主体 不 能 对 安全 级 别 高 于 自己 的 客体 进行 写 操作 
C. Biba 模型 的 访问 原则 是 不 下 读 /不 上 写 
D. 允许 数据 从 安全 级 别 低 的 客体 流向 安全 级 别 高 的 客体 
答案 : D 
【分 析 】 数据 完整 性 要 求 主体 不 能 对 安全 级 别 高 于 自己 的 客体 进行 写 操作 。 同 时 不 
人 允许 数据 从 安全 级 别 低 的 客体 流向 安全 级 别 高 的 客体 。 
(14) 关于 基于 角色 的 访问 控制 模型 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 基于 角色 分 配 权限 
B. 每 一 个 用 户 可 以 分 配给 多 个 角色 
C. 每 一 个 角色 可 以 由 多 个 用 户 构成 
D. 通过 身份 鉴别 过 程 确定 用 户 角色 
答案 : D 
【分 析 】 由 于 每 一 个 用 户 可 以 分 配给 多 个 角色 ,因此 ,通常 通过 身份 鉴别 过 程 确定 用 
户 ,而 由 用 户 自 己 选择 角色 。 
(15) 以 下 哪 一 项 不 是 审计 系统 的 组 成 部 分 ( 。 ) 


A. 日 志 记录 器 B. 分 析 器 
C. 通告 器 D. 响应 单元 
答案 : D 


【分 析 】 一 个 审计 系统 通常 由 日 志 记录 器 、 分 析 器 和 通告 器 三 部 分 组 成 。 这 三 部 分 
分 别 用 于 收集 数据 .分析 数据 和 通告 结果 。 
(16) 关于 Windows 7 访问 控制 机 制 ,以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. 采用 访问 控制 表 (ACL) 机 制 
B. 通过 创建 账户 创建 用 户 
C. 基于 资源 为 每 一 个 用 户 分 配 权 限 
D. 用 户 可 以 修改 某 个 资源 的 访问 权限 
答案 : D 
【分 析 】 用 户 登录 后 ,针对 某 个 资源 ,只 能 根据 分 配给 该 用 户 的 权限 访问 该 资源 。 基 
于 资源 为 每 一 个 用 户 分 配 权限 是 系统 管理 员 的 功能 。 
(17) 关于 Windows 7 防火 墙 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 基于 会 话 的 有 状态 分 组 过 滤器 
B. 可 以 指定 作为 会 话 发 起 方 或 接收 方 的 程序 
C. 允许 配置 人 站 规则 和 出 站 规则 
D. 会 话 指 TCP 连接 
答案 : D 
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【分 析 】 常见 的 会 话 有 TCP 连接 .UDP 会 话 和 ICMP ECHO 请 求 .响应 过 程 。 
(18) 关于 入 站 规则 ,以 下 哪 一 项 描述 是 错误 的 ? (  ) 
A. 可 以 用 他 地 址 唯一 指定 会 话 发 起 方 所 在 的 终端 
B. 可 以 用 端口 号 唯一 指定 作为 会 话 发 起 方 的 进程 
C. 可 以 用 程序 唯一 指定 作为 会 话 响应 方 的 进程 
D. 入 站 规则 用 于 禁止 或 允许 创建 由 内 部 进程 发 起 的 会 话 
答案 : D 
【分 析 】 入 站 规则 用 于 禁止 输入 或 允许 输入 会 话 发 起 方 发 送 的 用 于 创建 会 话 的 报 
文 。 因 此 ,只 能 用 于 禁止 或 允许 创建 由 外 部 进程 发 起 的 会 话 。 
(19) 关于 出 站 规则 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 可 以 用 IP 地 址 唯一 指定 会 话 响应 方 所 在 的 终端 
B. 可 以 用 端口 号 唯一 指定 作为 会 话 响应 方 的 进程 
C. 可 以 用 协议 指定 会 话 类 型 
D. 出 站 规则 用 于 禁止 或 允许 创建 由 外 部 进程 发 起 的 会 话 
答案 : D 
【分 析 】 出 站 规则 用 于 禁止 输出 或 允许 输出 会 话 发 起 方 发 送 的 用 于 创建 会 话 的 报 
文 。 因 此 ,只 能 用 于 禁止 或 允许 创建 由 内 部 进程 发 起 的 会 话 。 
(20) 关于 ping 命令 ,以 下 哪 一 项 描述 是 错误 的 ? ( 。 ) 
A. 发 送 若干 个 ICMP ECHO 请 求 报 文 
B. 用 序号 和 标识 符 匹配 ICMP ECHO 请 求 和 响应 报 文 
C. ICMP ECHO 请 求 和 响应 过 程 成 功 则 表明 与 目标 主机 连通 
D. ICMP ECHO 请 求 和 响应 过 程 失败 则 表明 不 存在 与 目标 主机 之 间 的 传输 路 径 
答案 D 
【分 析 】 ICMP ECHO 请 求 和 响应 过 程 失败 则 表明 没有 接收 到 目标 主机 发 送 的 与 
ICMP ECHO 请 求 报 文 匹配 的 ICMP ECHO 响应 报 文 ,发 生 这 一 情况 的 原因 很 多 ,不 存 
在 与 目标 主机 之 间 的 传输 路 径 只 是 一 种 可 能 的 原因 ,目标 主机 防火 墙 禁止 发 送 与 ICMP 
ECHO 请 求 报 文 匹 配 的 ICMP ECHO 响应 报 文 也 是 一 种 可 能 的 原因 。 
(21) 关于 tracert 命令 ,以 下 哪 一 项 描述 是 错误 的 ?( ) 
A. 不 断 发 送 ICMP ECHO 请 求 报 文 ,直到 接收 到 匹配 的 响应 报 文 
B. 依次 递增 封装 ICMP ECHO 请 求 报 文 的 IP 分 组 的 TTL 字段 什 
C. 与 目标 主机 之 间 的 传输 路 径 经 过 的 所 有 路 由 器 依次 发 送 超时 报 文 
D. 封装 超时 报 文 的 IP 分 组 以 目标 主机 的 IP 地 址 为 源 IP 地 址 
答案 : D 
【分 析 】 当 封 装 ICMP ECHO 请 求 报 文 的 IP 分 组 到 达 某 台 路 由 器 时 ,如 果 TTL 值 
减 为 0, 则 该 路 由 器 向 源 终端 发 送 一 个 超时 报 文 ,超时 报 文 封装 成 以 该 路 由 器 接收 该 全 
分 组 的 接口 的 卫 地 址 为 源 IP 地 址 、 源 终端 的 IP 地址 为 目的 IP 地 址 的 PP 分 组 。 
(22) 一 台 主 机 用 浏览 器 无 法 访问 到 域名 为 www. pku. edu. cn 的 服务 器 ,并 且 在 这 
台 主 机 上 执行 ping 命令 时 有 如 下 信息 。 
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C:\>ping www.pku.edu.cn 

ping www.pku.edu.cn[162.105.131.113] with 32 bytes of data: 
Request timed out. 

Request timed out. 

Request timed out. 

Request timed out. 

Ping statistics for 162.105.131.113 

Packets: Sent=4,Received=0,Lost=4(100% 10ss) 


分 析 以 上 信息 ,可 以 排除 的 故障 原因 是 ( )s 
A. 网 络 链 路 出 现 故障 
B. 主机 浏览 器 工作 不 正常 
C. 服务 器 www. pku. edu. cn 工作 不 正常 
D. 主机 设置 的 DNS 服务 器 工作 不 正常 
答案 : D 
【分 析 】 由 于 已 经 成 功 完成 完全 合格 的 域名 至 IP 地 址 的 转换 过 程 ,说 明 DNS 工作 
正常 。 
(23) 一 台 主 机 用 浏览 器 无 法 访问 到 域名 为 www. pku. edu. cn 的 网 站 ,并 且 在 这 台 
主机 上 执行 tracert 命令 时 有 如 下 信息 ,可 能 的 原因 是 (  )。 


Tracing route to www.pku.edu.cn[72.5.124.61] 

Over maximum of 30 hops 

1l<lms<lms <lms 202.113.64.129 

2 202.113.64.129 reports:Destination net unreachable 
trace complete 


A. 主机 IP 地 址 设置 有 误 

B. 相关 路 由 器 设置 了 访问 控制 

C. 服务 器 www. pku. edu. cn 工作 不 正常 
D. 主机 设置 的 DNS 服务 器 工作 不 正常 


答案 : B 
【分 析 】 错误 的 原因 是 TTL 为 2 的 ICMP ECHO 请 求 报 文 无 法 到 达 第 二 跳 路 
由 器 。 


(24) 在 一 台 主 机 上 用 浏览 器 无 法 访问 到 域名 为 www. online. tj. cn 的 网 站 ,并 且 在 
这 人 台 主 机 上 执行 tracert 命令 时 有 如 下 信息 : 


Tracing route to www.online.tj.cn [202.99.64.102] 
‘over a maximum of 30 hops: 

<lms <lms <lms 202.113.64.129 
2 <lms <lms <lms 202.113.77.1 


16 * 关 关 Request timed out. 
好 * 关 关 Request timed out . 
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Trace complete. 


分 析 以 上 信息 ,可 能 造成 这 种 现象 的 原因 是 ( 加 
A. 该 计算 机 的 网 关 地 址 设置 有 误 
B. 该 计算 机 设置 的 DNS 服务 器 工作 不 正常 
C. 该 计算 机 的 IP 地 址 与 子 网 掩 码 设置 有 误 
D. 网 站 www. online. tj. cn 工作 不 正常 
答案 : D 
【分 析 】 已 经 接收 到 第 一 跳 路 由 器 发 送 给 它 的 ICMP ECHO 响应 消息 ,因此 ,该 计 
算 机 的 IP 地 址 . 子 网 掩 码 和 网 关 地 址 设置 正确 。 由 于 已 经 解析 出 域名 www. online. 
.cn 对 应 的 IP 地 址 ,因此 ,域名 服务 器 工作 正常 ,得 出 可 能 的 原因 是 网 站 www. online 
.tj. cn 工作 不 正常 。 
(25) 在 已 经 获取 IP 地 址 的 DHCP 客户 端 上 执行 命令 ipconfig/release 后 ,该 DHCP 
客户 端 上 的 IP 地 址 和 子 网 掩 码 分 别 是 ( )s 
A. 169.254.161.12 和 255. 255.0.0 
B. 0.0.0.0 和 0.0.0.0 
C; 127.0.0.1 和 255.255.255..255 
DD: 127;.0,0, 1 和 .255,.0;.0..0 
答案 : B 
【分 析 】 选择 DHCP 自动 获取 IP 地 址 方式 , 且 未 从 DHCP 服务 器 获取 IP 地 址 时 ， 
IP 地 址 和 子 网 掩 码 分 别 是 0. 0.0.0 和 0. 0. 0.0。 


14.3 名 词 解释 


(1) 主体 

主动 的 实体 ,通常 包括 用 户 、 进 程 和 服务 等 。 

(2) 客体 

包含 或 接收 信息 的 被 动 实体 ,通常 包括 文件 程序、 目录 数据 库 等 。 

(3) 访问 

使 信息 在 主体 和 客体 间 流 动 的 一 种 交互 方式 。 

(4) 访问 控制 

一 种 具有 以 下 两 个 功能 的 安全 机 制 ,一 是 能 保障 授权 用 户 获取 所 需 资源 ,二 是 能 拒绝 
非 授权 用 户 非法 获取 资源 。 

(5) 授权 

为 每 一 个 用 户 设置 访问 权限 。 

(6) 访问 控制 策略 

主体 对 客体 的 访问 规则 集 , 这 个 规则 集 直接 定义 了 主体 对 客体 的 作用 行为 和 客体 对 
主体 的 条 件 约束 。 
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(7) 访问 控制 模型 

访问 控制 策略 的 形式 化 和 实现 机 制 描述 ,包含 主体 .客体 和 主体 对 客体 的 操作 。 

(8) 自主 访问 控制 (DAC) 

基于 主体 或 主体 所 属 的 主体 组 的 身份 限制 主体 对 客体 的 访问 。 

(9) 访问 控制 矩阵 

以 矩阵 的 形式 描述 一 组 主体 对 一 组 客体 的 访问 权限 。 

(10) 访问 控制 表 

针对 每 一 个 客体 , 列 出 所 有 人 允许 访问 该 客体 的 主体 和 主体 对 该 客体 的 访问 权限 。 

(11) 访问 能 力 表 

针对 每 一 个 主体 , 列 出 所 有 人 允许 该 主体 访问 的 客体 和 该 主体 对 客体 的 访问 权限 。 

(12) 强制 访问 控制 (MAC) 

对 所 有 主体 及 所 控制 的 客体 实施 强制 访问 控制 。 

(13) BLP 模型 

一 种 通过 实施 不 上 读 / 不 下 写 的 访问 原则 ,保证 数据 保密 性 的 强制 访问 控制 模型 。 

(14) Biba 模型 

一 种 通过 实施 不 下 读 /不 上 写 的 访问 原则 ,保证 数据 完整 性 的 强制 访问 控制 模型 。 

(15) 基于 角色 的 访问 控制 (RBAC) 

一 种 为 角色 配置 访问 权限 ,用 户 根据 承担 的 角色 获取 该 角色 的 访问 权限 的 访问 控制 
方式 。 

(16) 审计 

对 日 志 进 行 分 析 , 并 以 清晰 且 能 理解 的 方式 表述 分 析 结 果 。 

(17) 人 站 规则 

一 系列 用 于 禁止 或 允许 输入 会 话 发 起 方 发 送 的 用 于 创建 会 话 的 报 文 的 规则 。 

(18) 出 站 规则 

一 系列 用 于 禁止 或 允许 输出 会 话 发 起 方 发 送 的 用 于 创建 会 话 的 报 文 的 规则 。 


